Partage Notions en securité Linux ( 1 )

[Matrix]

Apres une intallation d'un systeme Linux, que çà sois kali-linux ou debian ou autre.
Vous ouvrez-votre terminal, puis tester si vous avez une connection internet :
​

ping -c 10 www.google.com
PING www.google.com (216.58.210.228) 56(84) bytes of data.
64 bytes from mrs04s10-in-f228.1e100.net (216.58.210.228): icmp_seq=1 ttl=55 time=57.1 ms
64 bytes from mrs04s10-in-f228.1e100.net (216.58.210.228): icmp_seq=2 ttl=55 time=56.3 ms
64 bytes from mrs04s10-in-f228.1e100.net (216.58.210.228): icmp_seq=3 ttl=55 time=57.0 ms
64 bytes from mrs04s10-in-f228.1e100.net (216.58.210.228): icmp_seq=4 ttl=55 time=56.7 ms
64 bytes from mrs04s10-in-f228.1e100.net (216.58.210.228): icmp_seq=5 ttl=55 time=56.7 ms
64 bytes from mrs04s10-in-f228.1e100.net (216.58.210.228): icmp_seq=6 ttl=55 time=55.9 ms
64 bytes from mrs04s10-in-f228.1e100.net (216.58.210.228): icmp_seq=7 ttl=55 time=56.0 ms
64 bytes from mrs04s10-in-f228.1e100.net (216.58.210.228): icmp_seq=8 ttl=55 time=56.2 ms
64 bytes from mrs04s10-in-f228.1e100.net (216.58.210.228): icmp_seq=9 ttl=55 time=56.6 ms
64 bytes from mrs04s10-in-f228.1e100.net (216.58.210.228): icmp_seq=10 ttl=55 time=56.1 ms

--- www.google.com ping statistics ---
10 packets transmitted, 10 received, 0% packet loss, time 9012ms
rtt min/avg/max/mdev = 55.974/56.492/57.108/0.483 ms

Comme vous pouvez le voir aucun paquet de perdu j'ai belle bien une connection Internet, cool.

Nous allons commencer par une mise à jour des information sur les dépots

apt-get update

Mettre à jour les logiciel

avec un aptitude qui va pouvoir par la suite gerer les dependances si il y en a :

aptitude upgrade

puis par la suite supprimer les paquets inutiles :

apt-get autoremove

Nous allons voir aussi une stats concernant le cache avec cette commande :

apt-cache stats

Nombre total de paquets : 57781 (1 156 k)
Nombre total de structures de paquets : 96339 (5 395 k)
  Paquets ordinaires : 65965
  Paquets entièrement virtuels : 1611
  Paquets virtuels simples : 8615
  Paquets virtuels mixtes : 1997
  Manquants : 18151
Nombre de versions distinctes : 75793 (5 457 k)
Nombre de descriptions distinctes : 93021 (2 233 k)
Nombre de dépendances : 624724 (17,5 M)
Nombre de relations version/fichier : 207044 (4 969 k)
Nombre de relations description/fichier : 93021 (2 233 k)
Nombre de relations « Provides » : 18156 (363 k)
Nombre de motifs rationnels : 161 (1 790 )
Espace occupé par les versions des dépendances : 2 846 k
Espace disque gaspillé : 29,8 k
Total de l'espace attribué : 33,7 M

Une autre commande qui va vous permettre de savoir ce que le logiciels depends comme dependance :

apt-cache depends vlc

Vous pouvez voir les paquet cassé a l'aide de cette commande :

apt-cache depends vlc | grep --color "Cass"

Par la suite :

Hardening de Sysctl

Sysctl c'est un fichier de configuration de votre système particulièrement central, et essentiel, il permet de configurer quasiment tout. A savoir d'ailleurs, que depuis le kernel 4.x, il permet même de modifier à chaud le kernel, c'est dire l'importance de ce fichier.

Voilà une configuration possible à mettre dans /etc/sysctl.conf permettant de se protéger contre le DDOS, améliorer la sécurité du mapping, randomisés les appels au kernel, empêcher les attaques réseaux via protocole icmp notamment et bien sûr empêcher l'IPv6 :​

voilà le fichier :
​

# IPv6 désactivé

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.lo.disable_ipv6 = 1
net.ipv6.conf.lo.autoconf = 0
net.ipv6.conf.eth0.disable_ipv6 = 1
net.ipv6.conf.eth0.autoconf = 0
net.ipv6.conf.wlan0.disable_ipv6 = 1
net.ipv6.conf.wlan0.autoconf = 0

# Pas de redirection ICMP (prévenention d'attaques MITM)

net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv6.conf.all.send_redirects = 0
net.ipv6.conf.default.send_redirects = 0
net.ipv4.tcp_syncookies=1

# Empêcher de se faire baiser par un retour de paquets UDP

net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.tun0.rp_filter=1
net.ipv4.conf.wlan0.rp_filter=1
net.ipv4.conf.eth0.rp_filter=1
net.ipv4.conf.lo.rp_filter=1

# Des petits conseils fournis par lynis

net.ipv4.tcp_timestamps=0
net.ipv4.conf.default.log_martians=1


# Manipulation TCP diminuée

net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.conf.all.forwarding=0
net.ipv4.conf.all.rp_filter=1
net.ipv4.tcp_max_syn_backlog=1280
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5
kernel.core_uses_pid=1

# Ignorer les Pings

net.ipv4.icmp_echo_ignore_all=1

# Activation de l'IP Forwarding pour l'ipv4

net.ipv4.ip_forward = 1

# Pas de paquets route d'IP ( fonctionnalité à réserver aux routeurs )

net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0

# Log amélioré

net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Desactive la SysRq key
kernel.sysrq = 0

# Execution protégé du noyau
kernel.exec-shield = 1

# mmap, base, stack et vdso randomisés
kernel.randomize_va_space = 2

# map et smaps visibles uniquement si autorisé par ptrace
kernel.maps_protect = 1

# Restriction dumps du noyau
fs.suid_dumpable = 0

# Cacher les pointeurs du noyau
kernel.kptr_restrict = 1

# Protection contre des petites attaques par déni de service
net.ipv4.tcp_max_tw_buckets = 1440000

Une fois cela fait, il suffit de faire pour que cela prenne effet :

sysctl -p && sysctl -w

Et enfin ajouter une ligne sur Grub :

echo "GRUB_CMDLINE_LINUX=\"ipv6.disable=1\"" >> /etc/default/grub && update-grub && update-grub2

Suite Notions en securité Linux ( 2 )
​

 

[Л Σ Ð Σ Ļ Ĩ ñ Σ]

au top poto

 

[zhacken]

Genial ton fichier , j avais juste contre les mapping merci du partage
Hate de lire la suite