Fermer
Kwashi EliE.

À propos de moi

Kwashi EliE.

Le Logiciel Libre entre Web, Design et Administration Système par un Africain, OpenSource Evangelist

Retrouvez-moi sur

[🐧Open Source Evangelist]

Préc. Suiv.

Comment se prévenir des logiciels malveillants & virus sur Linux

Linux 15-10-2017
    PARTAGER SUR:

[LINUX-SECURITÉ] VÉRIFIER ET SE PRÉVENIR CONTRE DES LOGICIELS MALVEILLANTS & VIRUS SUR UN SYSTÈME LINUX

SOURCE: Linux.Com | Article original: écrit par Jack Wallen (sept.2017)--

Sérieux!!! Linux aurait besoin de solutions antivirus? Je pensais qu'il était à l'abri de ces choses.

Peut-être qu'une clarification s'impose ici.

Avant tout, il est à noter qu'aucun système d'exploitation (voire aucun système informatique) n'est immunisé contre les attaques à 100%. Qu'une machine soit connecté à internet ou non, connecté à un autre réseau privé ou non, elle est susceptible d'être victime d'un code malveillant (bien que le niveau d'exposition est relative).

Bien que Linux soit moins exposé à de telles attaques que "Windows" (si on peut dire), il n'y a pas d'absolue en ce qui tient de l'ordre de la sécurité. J'ai été témoin d'honneur de serveurs Linux touchés par des rootkits(1) tellement méchants que la seule alternative était de réinstaller tout en espérant qu'une sauvegarde plus récente de données permette une récupération. J'ai été victime d'un pirate informatique sur mon poste de travail, parce que j'ai accidentellement oublié mon ordinateur accessible pendant un partage de données en réseau: la leçon retenue, même Linux peut être vulnérable à un certain niveau.

De ce fait, voyons pourquoi Linux aurait besoin d'outils préventifs contre les virus, les rootkits et logiciels malveillants.

Il devrait être évident: chaque serveur a besoin de protection contre les rootkits puisqu'en cas d'attaque, les administrateurs système commencent par se se perdre en confusion s'il va falloir faire recours à un antivirus ou un anti-malware.

Veuillez me permettre de le dire d'une façon simple: si votre serveur (ou même votre bureau de travail) utilise Samba(2) ou SSHFS(3) (voire tout autre méthode de partage de données), ces fichiers seront ouverts (voire manipuler) par des utilisateurs utilisant des systèmes d'exploitation vulnérables. VOULEZ-VOUS VOUS AMUSEZ À PASSER INAPERÇUE LA POSSIBILITÉ QUE VOTRE RÉPERTOIRE DE PARTAGE DE SAMBA PUISSE DISTRIBUER DES FICHIERS CONTENANT/TRANSPORTANT DU CODES MALVEILLANTS? Si cela devrait arriver, l'utilisation de votre machine vous reviendra extrêmement plus difficile, croyez-moi. De même, si cette machine Linux tourne en tant que serveur de messagerie ce serait très négligent de votre part de ne pas inclure le scan AV (pour empêcher vos utilisateurs de ne pas s'échanger des mails malveillants).

D'après toutes ces cas de figure, quelles options vous reste-t-il?

Voyons un peu du coté de ces quelques outils disponibles pour des environnement Linux vous protégeant valablement vous et vos utilisateurs contre les virus, les logiciels malveillants et les rootkits.

ClamAV

Sans doute, la solution la plus populaire pour se prévenir des virus sur des machines Linux et au delà de vos dossiers de partage. Voici quelques raisons faisant de ClamAV le plus populaire parmi toute ces solutions existantes pour Linux:

1. ClamAV est open-source (code ouvert pour Logiciel Libre), ce qui est une merveille.

2. Son efficace pour trouver des chevaux de Troie, des virus, logiciels malveillants et autres menances est sans détour.

3. ClamAV dispose d'un "démon" de scanner multi-thread parfaitement s'adaptant bien aux serveurs de messagerie avec un service de scan à la demande.

CLAMAV s'exécute aussi bien en ligne de commande qu'à partir d'un interface graphique baptisé "ClamTK"; l'usage est aussi simplissime que l'installation:

Pour les systèmes Debian:

 $sudo apt install clamav

Pour les systèmes RHEL / CentOS:

 $sudo yum install epel-release

 $sudo yum install clamav

Pour les systèmes Fedora:

 $sudo dnf install clamav

Pour les systèmes SUSE:

 $sudo zypper en clamav

Si vous utilisez un bureau Debian, vous pouvez installer ClamTK (l'interface graphique) avec la commande:

 $sudo apt install clamtk

Il existe aussi des outils tiers susceptibles d'être ajouté pour étendre le support de divers protocoles et services comme MTA, POP, Web, FTP, Filesys, MUA, Bindings, etc...

Lors de l'installation, la première chose que vous aurez besoin de faire est de mettre à jour les signatures avec la commande:

 $sudo frechclam

Une fois que cela est fait, vous pouvez scanner un répertoire avec la commande:

 $clamscan -r -i RÉPERTOIRE

(où, RÉPERTOIRE est le chemin du répertoire à analyser;
-r signifie "analyse de façon récursive, en considérant les répertoires et sous-répertoires
-i demande au démon d'afficher uniquement les fichiers infectés).

Si vous utilisez l'interface graphique, c'est encore plus facile. Depuis son panel, vous pouvez exécuter une analyse et, si ClamAV trouve quelque chose avec un code malveillant possible, à vous de jouer. Le seul point important à noter en ce qui concerne ClamAV est qu'il n'inclut pas le scan (l'analyse) en temps réel.

En effet, si vous n'utilisez pas l'interface graphique ClamTK, vous aurez juste à créer une tache planifiée d'analyse avec CRONTAB. Avec l'interface graphique, vous aurez la à configurer qu'un calendrier de votre répertoire personnel (/home/UTILISATEUR).

CHKROOTKIT ET RKHUNTER

Aucun outil n'est plus important pour la sécurité de votre serveur Linux que CHKRootkit ou RKHunter. Ces outils particuliers vérifient les avantages de:

  • Systèmes binaires pour la modification de rootkit
  • Si l'interface est en mode promiscuous
  • dernières suppressions de journaux
  • suppressions wtmp
  • Signes des trojans LKM
  • Remplacement de cordes rapide et sale
  • suppression du utmp

L'outil chkrootkit peut être installé sur les systèmes Debian avec la commande suivante:

 $sudo apt install chkrootkit

L'outil rkhunter peut être installé sur des systèmes similaires à CentOS avec les commandes:

 $sudo yum install epel-release

 $sudo yum install rkhunter

Une fois installé, l'utilisation est très simple: taper soit

 $sudo chkrootkit

ou

 $sudo rkhunter -c

Les deux commandes se plongeront dans le système et vérifieront les rootkits connus. Pendant la scrutation rkhunter, vous devrez appuyer sur Entrer sur votre clavier (lorsqu'il vous est demandé), puisqu'il y en aura durant les différentes étapes de la l'analyse. Une fois celle-ci terminée, les deux outils rendront compte de leurs résultats.

EN SOMME...

Il existe encore toute une multitude d'options et de solutions possible pour la même raison. Mais, celles-ci devraient amplement vous êtes suffisants, encore faudrait-il que le besoin soit vraiment de mise; puisque, s'il y a une chose qui est certain, tant que vous travailler avec une distribution GNU/Linux sur votre ordinateur personnel, vous et vos données personnelles (fichiers, etc...) êtes en sécurité contre 90% des infections virales les plus basiques qui sont récurrents sur les systèmes propriétaires comme Windows. Pour autant, on a jamais été trop prudent: donc, il faut qu'on soit informé et qu'on reste vigilant.


    LIBRE DE PARTAGER SUR:

Qu'en pensez-vous ?👇 Réagissez...