Il ne fait aucun doute que Linux est un système d'exploitation sécurisé. Cependant, rien n'est parfait. Des millions de lignes de code traversent le noyau toutes les secondes et une seule erreur de programmation est nécessaire pour ouvrir une porte au système d'exploitation. Si cette ligne de code se trouve face à Internet, c'est une porte dérobée vers votre serveur..

Les yeux l'ont

Les correctifs sont souvent publiés plus rapidement et plus souvent pour les systèmes Linux que pour les produits propriétaires. En effet, tout le monde peut consulter le code - et des milliers de développeurs le font régulièrement. Cette approche «à plusieurs yeux», avancée par Linus Torvalds, signifie que les problèmes tels que les portes dérobées se trouvent généralement rapidement. Cela signifie également que les correctifs sont publiés tout aussi rapidement.

La liste de diffusion du noyau Linux a récemment fait l’objet d’un vif débat, les développeurs se disputant pour savoir si les bugs de sécurité corrigés devraient être officiellement annoncés et documentés. Torvalds pense que faire une grande chanson et danser sur les correctifs de sécurité attire l’attention de scélérats comme les abeilles au miel. D'autres pensent qu'une ouverture totale va à l'encontre de la philosophie du logiciel libre.

Le débat est toujours d'actualité, mais si les seigneurs du noyau Linux sont en train de décider de la meilleure façon de basculer leur jeu, vous pouvez faire beaucoup pour protéger votre système, même si un service Internet est compromis.

Regarder les pièges avec Tripwire

Tripwire génère des sommes de contrôle à partir de tous les fichiers binaires essentiels exécutés sur votre système. Chaque fichier a une somme de contrôle totalement unique. Si un seul bit de données change dans le fichier, la somme de contrôle qu'il génère sera complètement différente.

Ces sommes de contrôle ne peuvent être ni craquées ni dupliquées car elles reposent sur une méthode de cryptage éprouvée. À l'aide de cette base de données de sommes de contrôle, Tripwire vérifiera périodiquement la valeur de chaque fichier binaire de sa base de données. Si un fichier a changé, le fil est déclenché et une alarme est signalée.

Ce système est incroyablement efficace, car la première chose que fait un pirate informatique lorsqu'il accède à votre système est de remplacer les fichiers système importants par leur propre version. C'est ce qu'on appelle un "rootkit", ce qui signifie que le pirate informatique peut toujours accéder à votre système, même après avoir localisé et mis à jour le problème de sécurité "de porte arrière" d'origine..

Il existe divers outils qui recherchent la signature révélatrice d'une installation de rootkit, mais Tripwire préempte ces outils en capturant les modifications apportées au système de fichiers - avant même que le rootkit puisse être utilisé. Pour cette raison, vous pouvez trouver Tripwire dans le référentiel de paquet de presque toutes les distributions Linux auxquelles nous pouvons penser. Il suffit de chercher et d'installer.

La défense Tripwire a si bien réussi qu’une société propriétaire a été lancée à l’arrière du produit Tripwire original; les deux s'appellent de manière déroutante Tripwire. Heureusement, cependant, la version opensource du logiciel est toujours populaire, malgré le fait que, comme tous les outils de sécurité Linux, il faut un effort considérable pour le faire fonctionner.

La majeure partie de cet effort concerne l'édition de fichiers de configuration compliqués. Choisir Ubuntu ou Debian peut vous aider, car ces deux distributions incluent un assistant de configuration rapide lors de l’installation des paquets. Nous avons utilisé Ubuntu Hardy Heron dans l'exemple de configuration ci-dessous. Nous avons également fourni les commandes manuelles pour la configuration si vous utilisez une distribution différente..

Assurez-vous que tout ce qui doit être installé est installé. Si vous ajoutez d'autres packages après l'installation de Tripwire, vous devrez passer par une routine de reconfiguration plutôt compliquée. Pour cette raison, il est plus simple d'installer Tripwire après avoir configuré et configuré le serveur exactement comme vous en avez besoin..