Journal Linux, les failles, les virus et le grand public

Posté par khalahan le 18 mai 2005 à 14:02.

Étiquettes : aucune

mai

2005

Je dirais qu'il existe 2 types de virus, ceux qui exploitent les failles des logiciels/os et ceux qui exploitent les faiblesses de l'être humain.

La 1ère catégorie a peu d'impact sur les systèmes à jour. Les mises à jour de linux avec les systèmes de packages gérés par les distributions permettent aussi de diminuer le risque, car l'utilisateur met en général toute sa distribution à jour d'un coup.
Cependant, le grand public n'est pas encore forcement sensibilisé à ces problèmes de mises à jour et de failles de sécurité.
Je pense que les distributions devraient proposer une sorte d'outil qui prévient visuellement l'utilisateur qu'il y a des mises à jour disponibles (cela existe-t-il déjà pour certaines distributions ?).

La 2ème catégorie est plus problématique, car ce qui pose problème ce sont la naïveté et la méconnaissance de l'informatique entre autres.
Linux et son système de bits d'exécution permet de réduire énormément ce problème, mais il existe encore quelques cas qui permettent d'infecter une machine :
- décompression d'une archive .tar.gz qui contient des fichiers exécutables (téléchargée sur internet ou reçu par mail ou messagerie instantanée)
- modification manuelle des droits d'exécution d'un fichier (en console ou en mode graphique)

Un utilisateur n'a par défaut pas le droit de rajouter de programme dans les dossiers du système, il peut uniquement écrire dans ~ et /tmp et c'est à ces endroits que les virus vont être enregistrés par l'utilisateur.

Quelle solution existante pour résoudre ce problème, sachant que l'utilisateur peut aussi installer des programmes utiles non fourni par sa distribution ?

Pour répondra à cette question, il faut d'abord définir différents profils d'utilisation d'une machine Linux :
1. Machine perso, mono-utilisateur
2. Machine multi-utilisateurs (famille ou entreprise)
3. Machine multi-utilisateurs administrée par personne/tout le monde

Solutions :
- un noexec sur les partitions /tmp et /home :
* il faut obligatoirement que /tmp et /home soient sur des partitions séparées
* les programmes utiles dans ~ et /tmp ne fonctionnent plus
=- utile dans le cas où un administrateur veut volontairement brider ses utilisateurs, mais très génant pour les autres cas.

- autre solution ?

# Ca existe déjà pour le 1) ...

Posté par Nicolas le 18 mai 2005 à 14:10. Évalué à 2.

... sous Ubuntu (peut être Kubuntu, je ne sais pas).

Il y a dans la barre des tâches un notificateur de mise à jour qui apparaît quand il y a des mises à jour disponible depuis la Hoary. Ca marche plutôt bien pour l'instant.
- [^] # Re: Ca existe déjà pour le 1) ...
  
  Posté par Twidi (site web personnel) le 18 mai 2005 à 14:29. Évalué à 1.
  
  Malheureusement j'étais à l'orignie sous la warty et quand j'ai installé la hoary, je l'ai fait en ecrasant la warty mais j'ai gardé mon home
  De ce fait, ce notificateur n'est pas présent dans mon profil (alors qu'il l'est bien sur un nouveau profil)
  
  Tu as une petite idée du comment faire ?
  - [^] # Re: Ca existe déjà pour le 1) ...
    
    Posté par frooze le 18 mai 2005 à 16:28. Évalué à 1.
    
    Je crois que la notification est lié a un packet "ubuntu-desktop" qui n'est pas automatiquement installé lors du passage warty -> hoary (en tout cas chez moi)
- [^] # Re: Ca existe déjà pour le 1) ...
  
  Posté par TImaniac (site web personnel) le 18 mai 2005 à 15:32. Évalué à 2.
  
  idem sous fedora, y'a un point d'exclamation qui clignotte quand des mises à jour sont dispos (uniquement à travers up2date, ce qui limite l'intérêt)).
- [^] # Re: Ca existe déjà pour le 1) ...
  
  Posté par xumelc le 18 mai 2005 à 18:29. Évalué à 4.
  
  Ca existe aussi pour SuSE :)
- [^] # Re: Ca existe déjà pour le 1) ...
  
  Posté par yoho (site web personnel) le 19 mai 2005 à 00:55. Évalué à 2.
  
  Oui, enfin, ça existe pour toutes les distros quoi ;)
# Maj

Posté par multi42 le 18 mai 2005 à 14:13. Évalué à 1.

Je pense que les distributions devraient proposer une sorte d'outil qui prévient visuellement l'utilisateur qu'il y a des mises à jour disponibles (cela existe-t-il déjà pour certaines distributions ?).

Oui, au moins chez Mandriva et Suse.
Pour le reste, je sais pas.

Mais si ca prévient des maj sécu, à ma connaissance ca ne te dit pas que ton Gimp n'est plus à jours (mais je me trompe peut être).
Mais ca va bien finir par arriver...
- [^] # Re: Maj
  
  Posté par JereMe le 18 mai 2005 à 14:36. Évalué à 2.
  
  Fedora aussi
# Lancer Bastille ?

Posté par Libre (site web personnel, Mastodon) le 18 mai 2005 à 15:05. Évalué à 5.

Bastille :

The Bastille Hardening program "locks down" an operating system, proactively configuring the system for increased security and decreasing its susceptibility to compromise. Bastille can also assess a system's current state of hardening, granularly reporting on each of the security settings with which it works.

lien :
http://www.bastille-linux.org/(...)

Y.
# noexec insuffisant

Posté par Colin Leroy (site web personnel) le 18 mai 2005 à 15:10. Évalué à 10.

noexec ne suffit pas. C'est contournable très facilement : soit c'est un script et

/bin/bash ./virus.sh

suffira. Soit c'est un exécutable ELF et

/lib/ld-linux.so.2 ./virus

fonctionnera.

(N'essayez pas le chmod -x /lib/ld-linux.so.2, c'est une mauvaise idée qui vous fera sortir le CD rescue).
- [^] # Re: noexec insuffisant
  
  Posté par un_brice (site web personnel) le 18 mai 2005 à 19:24. Évalué à 5.
  
  Par contre, le patch GRsec permet de n'autoriser l'éxécution que de programmes situés dans des répertoires accessibles en écriture au seul root.
  Et on peut limiter cette restriction à un seul groupe d'utilisateurs.
- [^] # Re: noexec insuffisant
  
  Posté par jbar (site web personnel) le 18 mai 2005 à 21:50. Évalué à 0.
  
  En effet, pourquoi personne n'a jamais pensé à boucher cette faille dans le CVS de bash et dans celui de la glibc ?
  Je moinsse, tu moinsses, il moinsse, nos bots moinssent ...
- [^] # Re: noexec insuffisant
  
  Posté par Thomas Douillard le 18 mai 2005 à 21:59. Évalué à 2.
  
  Je pensais à ça, aussi, mais j'ai une objection : Comment tu exécutes ces commandes automatiquement ?
  A part demander à l'utilisateur explicitement de taper les commandes (ésotériques), je vois pas.
  J'ai pensé aussi à insérer une ligne dans le .bashrc ou un fichier exécuté au démarrage, mais il faut aussi ... un script, pas exécutable automatiquement à priori. Donc c'est déja une barrière non négligeable, sauf si j'ai loupé un épisode. C'est déja bien plus compliqué que de double cliquer sur un fichier.
  - [^] # Re: noexec insuffisant
    
    Posté par Thomas Douillard le 18 mai 2005 à 22:11. Évalué à 2.
    
    Ah si, je vois en fait, un gestionnaire de fichier/shell configuré pour ouvir les .py avec python, les .sh avec bash et caetera. Mais je crois pas que ce soit le cas par défaut.
- [^] # Re: noexec insuffisant
  
  Posté par Tonton Th (Mastodon) le 19 mai 2005 à 22:03. Évalué à 1.
  
  (N'essayez pas le chmod -x /lib/ld-linux.so.2, c'est une mauvaise idée qui vous fera sortir le CD rescue).
  
  Il y a une façon plus technique de résoudre ce dilemne: http://pafoo.net/uninstallglibc/uninstglibc.html(...)
  
  ----
  je suis déja retourné dans la piscine...
# man bash

Posté par doublehp (site web personnel) le 18 mai 2005 à 16:37. Évalué à -3.

je crois qu avec 'source' ou 'exec' tu peux executer un fichier non executable ... mais pas trop sur.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.