LifoLife

Utilisation de A.I.D.E (Advanced Intrusion Detection Environment)

Aide permet de detecter les intrusions en envoyant des rapports en cas de detection d'anomalie.
Il etablie une base de signatures des fichiers, ce qui permet de detecter tout modification non voulue.

Installer le paquet
apt-get install aide

Creer les 2 bases
touch /var/lib/aide/aide.db
touch /var/lib/aide/aide.db.new

Dans /etc/defaults/aide, decommenter les 2 dernieres ligne
UPAC_CONFDIR="/etc/aide"
UPAC_CONFD="$UPAC_CONFDIR/aide.conf.d"

Mettre votre email ici
MAILTO=votremail

Il ne faut pas essayer d'utiliser l'executable aide -i par exemple, mais toujours passer par le cron /etc/cron.daily/aide

si vous avez un message du genre File database must have one db_spec specification
cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db

cette commande permettra d'etablir la base initiale.

Après des modifications sur votre serveur, il sera bon d'executer les commandes suivantes afin que la base de signatures soit mise à jour
/etc/cron.daily/aide
cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db

Pour aller plus loin
https://mailman.cs.tut.fi/pipermail/aide/2008-February/000903.html
http://www.hsc.fr/ressources/breves/aide.html.fr

Utiliser checksecurity

Checksecurity effectue des vérifications de sécurité basiques, telles que chercher les changements dans les programmes qui possèdent des permissions setuid et que les systèmes de fichiers distants ne soient pas autorisés à avoir des programmes exécutables setuid.

Installer le paquet
apt-get install checksecurity

Dans /etc/checksecurity.conf, decommenter CHECKSECURITY_EMAIL et mettre votre email

Pour lancer checksecurity
/etc/cron.daily/checksecurity

Utiliser rkhunter

Rkhunter permet la detection de rootkits

Installer le paquet
apt-get install rkhunter

Dans /etc/rkhunter.conf decommenter MAIL-ON-WARNING et mettre votre email

Pour lancer rkhunter
rkhunter -c ou --cronjob

Utiliser chkrootkit

Chkrootkit permet la detection de rootkits

Installer le paquet
apt-get install chkrootkit

Vous retrouverez toutes les options dans /etc/chkrootkit.conf

Pour le lancer tapez
chkrootkit

Pour aller plus loin:
http://softice.lakeland.usf.edu/wiki/index.php/How-to:install:chkrootkit

Après c'est à vous de configurer ces outils pour qu'ils soient efficacent sans vous noyer sous un nombre impressionant de faux positifs

Utiliser Logcheck

Logcheck lit les logs vous envoie ce qui lui parait suspect

Installer le paquet
apt-get install logcheck

Dans /etc/logcheck/logcheck.conf, mettre votre adresse email et reportlevel paranoid (du moins, au début)
Mettre les fichiers que l'on veut checker dans /etc/logcheck/logcheck.logfiles

Logcheck s'executera toutes les heures.

Utilisation de tiger

Tiger fournit des rapports sur la securité (1 par jour)
Normalement, il est installé par défaut sous Debian

Dans /etc/tiger/tigerrc mettre votre email à la ligne Tiger_Mail_RCPT

Utiliser la commande tigercron pour tester.