Guide de sécurité Linux. Vulnérabilités Linux dangereuses Crypter le système de fichiers sous Linux pour une sécurité Linux plus complète
Lors de la conférence annuelle LinuxCon en 2015, le créateur du noyau GNU/Linux Linus Torvalds a partagé son opinion sur la sécurité du système. Il a souligné la nécessité d'atténuer l'effet de la présence de certains bugs avec une protection compétente, de sorte que si un composant tombe en panne, la couche suivante couvre le problème.
Dans cet article, nous allons essayer de révéler ce sujet d'un point de vue pratique:
7. Installez des pare-feu
Récemment, il y a eu une nouvelle vulnérabilité qui permet des attaques DDoS sur des serveurs exécutant Linux. Un bogue dans le noyau du système est apparu depuis la version 3.6 fin 2012. La vulnérabilité permet aux pirates d'injecter des virus dans les fichiers de téléchargement, les pages Web et d'exposer les connexions Tor, et le piratage ne demande pas beaucoup d'efforts - la méthode d'usurpation d'adresse IP fonctionnera.Le dommage maximal pour les connexions HTTPS ou SSH chiffrées est l'interruption de la connexion, mais un attaquant peut placer de nouveaux contenus, y compris des logiciels malveillants, dans un trafic non protégé. Pour se protéger contre de telles attaques, un pare-feu est approprié.
Bloquer l'accès avec le pare-feu
Le pare-feu est l'un des outils les plus importants pour bloquer le trafic entrant indésirable. Nous vous recommandons de n'autoriser que le trafic dont vous avez vraiment besoin et de bloquer complètement tout autre trafic.
Pour le filtrage de paquets dans la plupart Distributions Linux il y a un contrôleur iptables. Ils utilisent généralement utilisateurs avancés, et pour une configuration simplifiée, vous pouvez utiliser les utilitaires UFW sur Debian/Ubuntu ou FirewallD sur Fedora.
8. Désactivez les services inutiles
Les spécialistes de l'Université de Virginie recommandent de désactiver tous les services que vous n'utilisez pas. Certains processus d'arrière-plan sont configurés pour se charger automatiquement et s'exécuter jusqu'à l'arrêt du système. Pour configurer ces programmes, vous devez vérifier les scripts d'initialisation. Les services peuvent être démarrés via inetd ou xinetd.Si votre système est configuré via inetd, alors dans le fichier /etc/inetd.conf vous pouvez éditer la liste des programmes d'arrière-plan "démons", pour désactiver le chargement du service, il suffit de mettre un signe "#" au début du ligne, la transformant d'un exécutable en commentaire.
Si le système utilise xinetd, alors sa configuration sera dans le répertoire /etc/xinetd.d. Chaque fichier de répertoire définit un service qui peut être désactivé en spécifiant la clause disable = yes, comme dans cet exemple :
Doigt de service ( socket_type = stream wait = no user = nobody server = /usr/sbin/in.fingerd disable = yes )
Cela vaut également la peine de vérifier les processus persistants qui ne sont pas gérés par inetd ou xinetd. Vous pouvez configurer des scripts de démarrage dans les répertoires /etc/init.d ou /etc/inittab. Une fois les modifications apportées, exécutez la commande sous le compte root.
/etc/rc.d/init.d/inet redémarrage
9. Protégez physiquement le serveur
Il n'est pas possible de se protéger complètement contre les attaques d'un attaquant ayant un accès physique au serveur. Il est donc nécessaire de sécuriser la pièce où se trouve votre système. Les centres de données prennent la sécurité au sérieux, limitant l'accès aux serveurs, installant des caméras de sécurité et nommant des gardes constants.Pour entrer dans le centre de données, tous les visiteurs doivent passer par certaines étapes d'authentification. Il est également fortement recommandé d'utiliser des détecteurs de mouvement dans toutes les zones du centre.
10. Protégez le serveur des accès non autorisés
Un système d'accès non autorisé, ou IDS, collecte des données sur la configuration et les fichiers du système, puis compare ces données avec les nouvelles modifications pour déterminer si elles sont nuisibles au système.Par exemple, les outils Tripwire et Aide collectent une base de données de fichiers système et les protègent avec un ensemble de clés. Psad est utilisé pour suivre les activités suspectes via des rapports de pare-feu.
Bro est conçu pour surveiller le réseau, suivre les modèles d'activité suspects, collecter des statistiques, exécuter des commandes système et générer des alertes. RKHunter peut être utilisé pour se protéger contre les virus, le plus souvent les rootkits. Cet utilitaire analyse votre système par rapport à une base de données de vulnérabilités connues et peut détecter les paramètres dangereux dans les applications.
Conclusion
Les outils et paramètres répertoriés ci-dessus vous aideront à protéger partiellement le système, mais la sécurité dépend de votre comportement et de votre compréhension de la situation. Sans attention, prudence et auto-apprentissage constant, toutes les mesures de protection peuvent ne pas fonctionner.On peut certainement dire que linux plus sûr(protégé) que Windows. Sécurité V linux intégré, et non vissé quelque part sur le côté, comme cela est implémenté dans Windows. Sécurité systèmes linux couvre la zone allant du noyau au bureau, mais il y a des chances pour que les pirates endommagent votre répertoire personnel (/home).
Vos octets de photos, vidéos personnelles, documents et données de carte de crédit ou de portefeuille sont les informations les plus précieuses sur un ordinateur. Bien sûr, Linux n'est pas sensible à toutes sortes de vers et de virus Internet pour Windows. Mais les attaquants peuvent trouver un moyen d'accéder à vos données dans votre répertoire personnel.
Après avoir préparé votre ancien ordinateur ou disque dur avant de le revendre, le formater, pensez-vous que cela suffira ? Il existe de nombreux outils modernes de récupération de données. Un pirate peut facilement récupérer vos données à partir de disque dur, quel que soit le système d'exploitation dans lequel vous avez travaillé.
A ce sujet, je rappelle l'expérience d'une entreprise de rachat d'ordinateurs et de disques usagés. Dans le cadre de leurs activités, ils ont rendu un verdict selon lequel 90% des anciens propriétaires de leur ordinateur n'avaient pas pris soin de nettoyer correctement leurs supports de stockage avant de vendre. Et ils extrayaient des octets de données très sensibles. C'est même effrayant d'imaginer que quelque part dans les bacs de votre disque dur se trouvent des informations pour entrer dans votre banque en ligne ou votre portefeuille en ligne.
Commencez par les bases de la sécurité Linux
Passons aux bases (), qui conviendront à presque tous 
distributions Linux.
Chiffrement du système de fichiers sous Linux pour une sécurité Linux plus complète
Les mots de passe personnalisés ne résoudront pas le problème si vous voulez vraiment que personne ne puisse lire votre répertoire personnel (/home) ou une certaine taille d'octets. Vous pouvez le faire pour que même un utilisateur disposant des privilèges root les plus élevés ne puisse pas se mettre le nez.
Supprimez les fichiers sensibles afin que personne d'autre ne puisse les récupérer
Si vous décidez de vendre ou de donner votre ordinateur ou votre support de stockage, ne présumez pas qu'un simple formatage supprimera définitivement vos fichiers. Vous pouvez installer l'outil de suppression sécurisée sur votre Linux, qui inclut l'utilitaire srm pour supprimer des fichiers en toute sécurité.
N'oubliez pas non plus le pare-feu disponible dans le noyau Linux. Toutes les distributions Linux incluent lptables, qui fait partie du noyau. Lptables vous permet de filtrer les paquets réseau. Bien sûr, vous pouvez configurer cet utilitaire dans le terminal. Mais cette méthode est au-delà du pouvoir de beaucoup, y compris moi. J'installe et configure donc aussi facilement que si je jouais à un jeu.
Comme tous les systèmes d'exploitation, Linux est sujet à l'accumulation de fichiers inutiles lors de l'exécution de diverses applications. Et ce n'est pas la faute de Linux, puisque diverses applications, telles que les navigateurs, les éditeurs de texte et même les lecteurs vidéo, fonctionnent en dehors du niveau du noyau et accumulent des fichiers temporaires. Vous pouvez installer l'utilitaire universel d'élimination des déchets BleachBit.
Surf anonyme, cachant votre adresse IP - très important pour la sécurité de votre identité sous Linux OS
En conclusion, je veux vous parler de la navigation Web anonyme. Parfois, il arrive que cela soit nécessaire, comme moi, lorsque, secrètement de ma femme, je visite des sites à contenu érotique. Bien sûr, je plaisantais.
Il sera difficile pour les attaquants de vous atteindre s'ils ne peuvent pas déterminer votre emplacement. Nous couvrons les pistes avec une configuration simple de deux utilitaires travaillant ensemble appelés privoxy et tor.
A mon avis, suivre et mettre en place toutes ces règles vous sécurisera vous et votre ordinateur à 90%.
PS J'utilise un cloud appelé dropbox. J'y conserve mes anciens et nouveaux articles non encore publiés. Il est pratique d'avoir accès à vos fichiers de n'importe où dans le monde et sur n'importe quel ordinateur. Lorsque j'écris des articles pour le site dans un éditeur de texte, j'enregistre mes documents texte avec un mot de passe et je ne les télécharge ensuite que sur le serveur dropbox. Vous ne devez jamais négliger une sécurité supplémentaire, qui ne fera que jouer entre vos mains.
Nous savons tous que le système d'exploitation Linux est beaucoup plus sûr que Windows en raison de son architecture et d'un système spécial de répartition des accès entre les utilisateurs. Mais les programmeurs sont aussi des gens, même si nous détestons ça, ils font aussi des erreurs. Et à cause de ces erreurs, des trous apparaissent dans le système à travers lesquels les attaquants peuvent contourner les systèmes de sécurité.
Ces erreurs sont appelées vulnérabilités, elles peuvent se produire dans divers programmes et même au cœur même du système, compromettant sa sécurité. Ces dernières années, la popularité de Linux a commencé à croître et les chercheurs en sécurité accordent plus d'attention à ce système. De plus en plus de vulnérabilités sont découvertes, et grâce au code open source, il s'avère les corriger très rapidement. Dans cet article, nous examinerons les vulnérabilités Linux les plus dangereuses qui ont été découvertes au cours des dernières années.
Avant de passer à la liste des vulnérabilités elle-même, il est important de comprendre ce qu'elles sont et ce qu'elles sont. Comme je l'ai dit, une vulnérabilité est un bogue dans un programme qui permet à un utilisateur d'utiliser le programme d'une manière qui n'était pas prévue par son développeur.
Cela peut être le manque de validation des données reçues, de vérification de la source des données et, plus intéressant encore, de la taille des données. Les vulnérabilités les plus dangereuses sont celles qui permettent l'exécution de code arbitraire. DANS mémoire vive toutes les données ont une certaine taille et le programme est conçu pour écrire dans la mémoire les données d'un utilisateur d'une certaine taille. Si l'utilisateur soumet plus de données, il devrait générer une erreur.
Mais si le programmeur a fait une erreur, les données écraseront le code du programme et le processeur tentera de les exécuter, ce qui entraînera des vulnérabilités de débordement de la mémoire tampon.
En outre, toutes les vulnérabilités peuvent être divisées en vulnérabilités locales, qui ne fonctionnent que si le pirate a accès à ordinateur local et à distance, lorsque l'accès à Internet est suffisant. Et maintenant passons à la liste des vulnérabilités.
1. VACHE sale
La première sur notre liste sera une nouvelle vulnérabilité qui a été découverte cet automne. Le nom Dirty COW signifie Copy on Write. Une erreur se produit dans le système de fichiers lors de la copie sur écriture. Il s'agit d'une vulnérabilité locale qui permet à tout utilisateur non privilégié d'obtenir un accès complet au système.
En bref, deux fichiers sont nécessaires pour exploiter la vulnérabilité, l'un est accessible en écriture uniquement au nom du superutilisateur, le second est pour nous. Nous commençons à écrire des données dans notre fichier et à lire à partir du fichier superutilisateur plusieurs fois, après un certain temps, il viendra un moment où les tampons des deux fichiers seront mélangés et l'utilisateur pourra écrire des données dans un fichier dont l'écriture est pas disponible pour lui, vous pouvez donc vous donner les droits root dans le système.
La vulnérabilité était dans le noyau depuis environ 10 ans, mais après la découverte, elle a été rapidement éliminée, bien qu'il existe encore des millions d'appareils Android dans lesquels le noyau n'a pas été mis à jour et ne pense pas et où cette vulnérabilité peut être exploitée. La vulnérabilité a été codée CVE-2016-5195.
2. Vulnérabilité Glibc
La vulnérabilité a reçu le code CVE-2015-7547. Cela a été l'une des vulnérabilités les plus discutées parmi les projets open source. En février 2016, il s'est avéré que la bibliothèque Glibc présentait une très grave vulnérabilité permettant à un attaquant d'exécuter son code sur un système distant.
Il est important de noter que Glibc est une implémentation de la bibliothèque standard C et C++, qui est utilisée dans la plupart des programmes Linux, y compris les services et les langages de programmation tels que PHP, Python, Perl.
Une erreur s'est produite dans le code d'analyse de la réponse du serveur DNS. Ainsi, la vulnérabilité pourrait être utilisée par des pirates dont le DNS a été accédé par des machines vulnérables, ainsi que pour effectuer une attaque MITM. Mais la vulnérabilité a donné un contrôle total sur le système
La vulnérabilité est dans la bibliothèque depuis 2008, mais après la découverte, des correctifs ont été publiés assez rapidement.
3. Heartbleed
En 2014, l'une des vulnérabilités les plus graves en termes d'échelle et de conséquences a été découverte. Cela a été causé par un bogue dans le module heartdead d'OpenSSL, d'où le nom Heartbleed. La vulnérabilité permettait aux attaquants d'accéder directement à 64 kilo-octets de RAM du serveur, l'attaque pouvait être répétée jusqu'à ce que toute la mémoire soit lue.
Malgré le fait que le correctif a été publié très rapidement, de nombreux sites et applications ont été affectés. En fait, tous les sites utilisant HTTPS pour sécuriser le trafic étaient vulnérables. Les attaquants pourraient obtenir les mots de passe des utilisateurs, leurs données personnelles et tout ce qui était en mémoire au moment de l'attaque. La vulnérabilité a reçu le code CVE-2014-0160.
4. Le trac
Si une vulnérabilité a reçu un nom de code, cela signifie définitivement qu'elle mérite l'attention. La vulnérabilité Stagerfight ne fait pas exception. Certes, ce n'est pas vraiment un problème Linux. Stagefright est une bibliothèque pour gérer les formats multimédias sous Android.
Il est implémenté en C++, ce qui signifie qu'il contourne tous les mécanismes de sécurité Java. En 2015, tout un groupe de vulnérabilités a été découvert, permettant l'exécution à distance de code arbitraire sur le système. Il s'agit de CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828 et CVE-2015-3829.
Il suffisait à un attaquant d'envoyer un MMS à un smartphone vulnérable avec un fichier multimédia spécialement modifié, et il avait le contrôle total de l'appareil avec la possibilité d'écrire et de lire des données à partir de la carte mémoire. La vulnérabilité a été corrigée par les développeurs Android, mais des millions d'appareils restent vulnérables.
5. Vulnérabilité Zero Day du noyau
Il s'agit d'une vulnérabilité locale qui vous permet d'élever l'utilisateur actuel à la racine en raison d'une erreur dans le système pour travailler avec les données cryptographiques du noyau qui sont stockées en mémoire. Il a été découvert en février 2016 et couvrait tous les noyaux à partir de 3.8, ce qui signifie que la vulnérabilité existait depuis 4 ans.
L'erreur pourrait avoir été exploitée par des pirates ou des logiciels malveillants logiciel pour augmenter leurs pouvoirs dans le système, mais a été rapidement corrigé.
6. Vulnérabilité dans MySQL
La vulnérabilité était codée CVE-2016-6662 et affectait toutes les versions de serveur de base de données MySQL disponibles (5.7.15, 5.6.33 et 5.5.52), les bases de données Oracle et les clones de MariaDB et PerconaDB.
Les attaquants pourraient obtenir un accès complet au système via Requête SQL un code a été passé qui m'a permis de remplacer my.conf par ma version et de redémarrer le serveur. Il était également possible d'exécuter du code malveillant avec des droits de superutilisateur.
Les solutions MariaDB et PerconaDB ont publié des correctifs assez rapidement, Oracle a réagi, mais beaucoup plus tard.
7 Shellshock
Cette vulnérabilité a été découverte en 2014 avant qu'elle ne dure 22 ans. Elle a reçu le code CVE-2014-6271 et le nom de code Shellshock. Cette vulnérabilité est comparable en danger au déjà connu Heartbleed. Cela est dû à un bogue dans l'interpréteur de commandes Bash, qui est la valeur par défaut sur la plupart des distributions Linux.
Bash vous permet de déclarer Variables d'environnement sans authentification de l'utilisateur, et ensemble, ils peuvent exécuter n'importe quelle commande. Ceci est particulièrement dangereux dans les scripts CGI, qui sont pris en charge par la plupart des sites. Les vulnérables ne sont pas seulement les serveurs, mais aussi les ordinateurs personnels des utilisateurs, les routeurs et autres appareils. En fait, un attaquant peut exécuter à distance n'importe quelle commande, il s'agit d'un contrôle à distance à part entière sans authentification.
Des vulnérabilités étaient affectées par toutes les versions de Bash, y compris la 4.3, cependant, après la découverte du problème, les développeurs ont très rapidement publié un correctif.
8.Quadrooter
Il s'agit de toute une série de vulnérabilités dans Android, découvertes en août 2016. Elles ont reçu les codes CVE-2016-5340, CVE-2016-2059, CVE-2016-2504, CVE-2016-2503. Plus de 900 millions sont sujets à erreur Appareils Android. Toutes les vulnérabilités ont été trouvées dans le pilote de processeur ARM de Qualcomm, et toutes peuvent être utilisées pour devenir root accès à l'appareil.
Comme DirtyCOW, aucune autorisation n'est nécessaire ici, installez simplement une application malveillante et elle pourra obtenir toutes vos données et les transférer à un attaquant.
9. Vulnérabilité dans OpenJDK
Il s'agit d'une vulnérabilité Linux 2016 très grave dans la machine Java OpenJDK avec le code CVE-2016-0636 qui affecte tous les utilisateurs exécutant Oracle Java SE 7 Update 97 et 8 Update 73 et 74 sous Windows, Solaris, Linux et Mac OS X. Cette vulnérabilité permet à un attaquant d'exécuter du code arbitraire en dehors d'une machine Java si vous ouvrez une page spéciale dans un navigateur avec une version vulnérable de Java.
Cela a permis à un attaquant d'accéder à vos mots de passe, à vos données personnelles et également d'exécuter des programmes sur votre ordinateur. Dans toutes les versions de Java, le bug a été corrigé très rapidement, il existe depuis 2013.
10. Vulnérabilité HTTP/2
Il s'agit d'une série de vulnérabilités découvertes en 2016 dans le protocole HTTP/2. Ils ont reçu les codes CVE-2015-8659, CVE-2016-0150, CVE-2016-1546, CVE-2016-2525, CVE-2016-1544. Toutes les implémentations de ce protocole dans Apache, Nginx Microsoft, Jetty et nghttp2 étaient sujettes à des vulnérabilités.
Tous permettent à un attaquant de ralentir considérablement le serveur Web et d'effectuer une attaque par déni de service. Par exemple, l'une des erreurs a entraîné la possibilité d'envoyer un petit message, qui a été décompressé en gigaoctets sur le serveur. Le bug a été corrigé très rapidement et n'a donc pas causé beaucoup de bruit dans la communauté.
Es-tu en sécurité?
Dans cet article, nous avons passé en revue les vulnérabilités Linux les plus dangereuses de 2016, 2015 et 2014. La plupart d'entre eux pourraient causer de graves dommages aux systèmes s'ils ne sont pas corrigés à temps. Grâce au code open source, ces vulnérabilités Linux sont efficacement détectées et rapidement corrigées. N'oubliez pas de mettre à jour votre système. Le problème ne reste qu'avec Android. Certains appareils ne reçoivent plus de mises à jour et il n'y a pas encore de solution à ce problème.
De nombreux utilisateurs considèrent qu'Ubuntu pop et Ubuntu Server ne sont pas sérieux. Beaucoup de gens oublient qu'Ubuntu Server est pris en charge pendant 5 ans et que le père de Debian 5.0 était sur le marché depuis 3 ans - de 2009 à 2012.
En termes de prix de support - par rapport à Red Hat, Ubuntu Server peut et doit être dit - vous l'avez obtenu gratuitement, même si vous commandez un support 24 heures sur 24, 7 jours sur 7, 365 jours par an.
Découvrez quelles solutions de sécurité sont implémentées dans toutes les versions d'Ubuntu et rendez-les sûres et fiables.
Possibilités
Matrice des capacités de sécurité
| Opportunité | 8.04LTS(Héron rustique) | 10.04LTS(Lynx lucide) | 11.04 (Natty Narval) | 11.10 (Ocelot onirique) | 12.04LTS(Pangolin précis) | 12.10 (Quetzal quantique) |
| Aucun port ouvert | politique | politique | politique | politique | politique | politique |
| Hachage du mot de passe | md5 | sha512 | sha512 | sha512 | sha512 | sha512 |
| Cookies SYN | -- | noyau et sysctl | noyau et sysctl | noyau et sysctl | noyau et sysctl | noyau et sysctl |
| Capacités du système de fichiers | -- | noyau | noyau | noyau | noyau | noyau |
| Pare-feu configurable | ufw | ufw | ufw | ufw | ufw | ufw |
| PR_SET_SECCOMP | noyau | noyau | noyau | noyau | noyau | noyau |
| AppArmor | 2.1 | 2.5 | 2.6.1 | 2.7.0~beta1 | 2.7.0 | 2.7.0 |
| SELinux | univers | univers | univers | univers | univers | univers |
| CLAQUE | -- | noyau | noyau | noyau | noyau | noyau |
| LVM chiffré | installateur alternatif | installateur alternatif | installateur alternatif | installateur alternatif | installateur alternatif | installateur alternatif |
| eCryptfs | -- | ~/Private ou ~, noms de fichiers | ~/Private ou ~, noms de fichiers | ~/Private ou ~, noms de fichiers | ~/Private ou ~, noms de fichiers | ~/Private ou ~, noms de fichiers |
| Protection de la pile | correctif gcc | correctif gcc | correctif gcc | correctif gcc | correctif gcc | correctif gcc |
| Protection du tas | glibc | glibc | glibc | glibc | glibc | glibc |
| pointeur obfusqué | glibc | glibc | glibc | glibc | glibc | glibc |
| Pile ASLR | noyau | noyau | noyau | noyau | noyau | noyau |
| bibliothèques/mmap ASLR | noyau | noyau | noyau | noyau | noyau | noyau |
| Exécutif ASLR | noyau (correctif -mm) | noyau | noyau | noyau | noyau | noyau |
| BRK ASLR | noyau (exec ASLR) | noyau | noyau | noyau | noyau | noyau |
| VDSO ASLR | noyau | noyau | noyau | noyau | noyau | noyau |
| Construire avec PIE | -- | liste de colis | liste de colis | liste de colis | liste de colis | liste de colis |
| -- | correctif gcc | correctif gcc | correctif gcc | correctif gcc | correctif gcc | |
| Assemblage avec RELRO | -- | correctif gcc | correctif gcc | correctif gcc | correctif gcc | correctif gcc |
| Construire avec BIND_NOW | -- | liste de colis | liste de colis | liste de colis | liste de colis | liste de colis |
| Mémoire non exécutable | PAE uniquement | PAE, émulation partielle NX ia32 | PAE, émulation partielle NX ia32 | PAE, émulation partielle NX ia32 | PAE, émulation partielle NX ia32 | |
| Protéger /proc/$pid/maps | noyau et sysctl | noyau | noyau | noyau | noyau | noyau |
| Limites des liens symboliques | -- | -- | noyau | noyau | noyau | noyau |
| Restrictions de lien dur | -- | -- | noyau | noyau | noyau | noyau |
| champ d'application | -- | -- | noyau | noyau | noyau | noyau |
| Protection d'adresse 0 | noyau et sysctl | noyau | noyau | noyau | noyau | noyau |
| Protéger /dev/mem | noyau (correctif -mm) | noyau | noyau | noyau | noyau | noyau |
| Désactivé /dev/kmem | noyau (correctif -mm) | noyau | noyau | noyau | noyau | noyau |
| Blocage du chargement du module | supprimer CAP_SYS_MODULES | sysctl | sysctl | sysctl | sysctl | sysctl |
| noyau | noyau | noyau | noyau | noyau | noyau | |
| Protection de la pile du noyau | -- | noyau | noyau | noyau | noyau | noyau |
| Module RO/NX | -- | -- | noyau | noyau | noyau | noyau |
| -- | -- | noyau | noyau | noyau | noyau | |
| -- | -- | noyau | noyau | noyau | noyau | |
| Filtrage des appels système | -- | -- | -- | noyau | noyau | noyau |
Aucun port ouvert
L'installation par défaut d'Ubuntu n'a pas de ports ouverts disponibles en dehors du réseau. L'exception à cette règle concerne uniquement les services d'infrastructure réseau tels que le client DHCP et mDNS (Avahi/ZeroConf).
Lorsque Ubuntu Server est installé, l'administrateur peut installer des services réseau supplémentaires tels que le serveur Web Apache. Mais par défaut, sur un système fraîchement installé, si vous faites netstat -an --inet | grep ECOUTER | grep -v 127.0.0.1 , vous pouvez facilement vérifier qu'Ubuntu n'ouvre pas inutilement des ports pour l'accès des réseaux au système.
Hachage du mot de passe
Le mot de passe système utilisé pour se connecter à Ubuntu est stocké dans /etc/shadow. Il y a longtemps, le hachage du mot de passe DES était stocké dans /etc/passwd. Mais les Linux modernes stockent depuis longtemps des hachages dans / etc / shadow et au début, un identifiant de cryptage de hachages salé basé sur MD5 1 a été utilisé. Étant donné que les mêmes mots de passe avaient les mêmes hachages sans l'utilisation d'un sel, l'introduction d'un sel a amélioré la sécurité et rendu plus difficile le déchiffrage des mots de passe de nombreux utilisateurs du système.
Maintenant, MD5 est considéré comme peu fiable et avec la croissance des capacités informatiques des ordinateurs, avec Ubuntu 8.10, un hachage SHA-512 avec un sel (identifiant de cryptage de mot de passe basé sur SHA-512 salé 6) est utilisé. Cela rend le piratage par force brute incroyablement difficile et chronophage.
Voir mancrypt pour plus de détails.
Utilisez test-glibc-security.py pour les tests.
Cookies SYN
Lorsque le système est inondé de nouvelles connexions réseau, le mécanisme de cookie SYN aide à réduire les dommages causés par les attaques par inondation SYN.
Capacités du système de fichiers
Le besoin d'applications setuid qui s'exécutent avec des privilèges plus élevés que celui qui les a lancées peut être réduit en utilisant des fonctionnalités de système de fichiers telles que xattrs. De telles capacités réduisent le risque d'abus d'applications setuid potentiellement dangereuses.
Le noyau Linux maintient la prise en charge et il existe une boîte à outils libcap2-bin pour utiliser des fonctionnalités de fichiers telles que xattrs afin d'améliorer la sécurité des applications setuid.
Utilisez test-kernel-security.py pour les tests.
Pare-feu configurable
ufw est un frontal iptables qui est installé et utilisé dans Ubuntu, mais doit être activé par l'utilisateur. UFW vise à fournir une interface facile à utiliser pour les personnes qui ne sont pas familiarisées avec les concepts, les chaînes et les tables de pare-feu iptables.
Dans le même temps, UFW simplifie les commandes iptables complexes pour aider l'administrateur qui sait ce qu'il fait.
UFW est un assistant et une base pour les interfaces graphiques.
Utilisez les tests ufw pour les tests.
PR_SET_SECCOMP
AppArmor
SELinux
SELinux est un système de contrôle d'accès obligatoire basé sur le concept d'un inode - un inode de système de fichiers.
L'installation du package selinux apportera les modifications et les ajustements nécessaires lors du démarrage du PC.
Utilisez test-kernel-security.py pour les tests.
CLAQUE
SMACK est un système de contrôle d'accès obligatoire flexible basé sur le concept d'inode - descripteur d'index de système de fichiers.
Utilisez test-kernel-security.py pour les tests.
Cryptage du système de fichiers
Cryptage LVM
Les utilisateurs utilisant le programme d'installation alternatif peuvent installer Ubuntu sur un LVM chiffré (Logical Volume Manage - Logical Volume Manager), qui chiffrera toutes les partitions, y compris la partition d'échange.
eCryptfs
Les dossiers chiffrés ont d'abord été implémentés dans Ubuntu 8.10 en tant qu'endroit sûr pour stocker des informations utilisateur sensibles.
Le programme d'installation du disque alternatif et du serveur vous permet de configurer des dossiers chiffrés pour le premier utilisateur.
Dans Ubuntu 9.04, la prise en charge du chiffrement de dossier a été étendue pour permettre à l'utilisateur de chiffrer l'intégralité du dossier de départ. Le chiffrement du dossier d'accueil est pris en charge dans le programme d'installation alternatif et le programme d'installation de bureau via l'option user-setup/encrypt-home=true.
Renforcement de la sécurité de l'espace utilisateur
De nombreuses fonctionnalités de sécurité sont implémentées via des indicateurs de compilation lors de la création de packages logiciels et du noyau.
Protection de la pile
L'indicateur gcc -fstack-protector fournit une protection contre le débordement de pile en plaçant un petit nombre aléatoire comme jeton. Cette technique rend les débordements de pile plus difficiles pour divers exploits.
Un petit nombre de programmes ne fonctionnent pas bien s'ils sont compilés avec cette option et si -fstack-protector est désactivé pour eux.
Utilisez test-gcc-security.py pour les tests.
Protection du tas
La protection du tas de la bibliothèque GNU C (automatiquement ptmalloc et manuellement) fournit une protection contre les listes corrompues/unlink/double-free/overflow dans le gestionnaire de mémoire glibc.
Cela empêche l'exécution de code arbitraire par débordement de mémoire de tas, corrompant ainsi la structure de la zone de tas.
Cette protection a évolué au fil du temps, ajoutant de plus en plus d'options de protection. Dans son état actuel, la glibc 2.10 résiste avec succès aux conditions d'attaque les plus subtiles.
pointeur obfusqué
Certains pointeurs de la glibc sont obscurcis via les macros PTR_MANGLE/PTR_UNMANGLE en interne dans la glibc, empêchant les pointeurs d'être écrasés lors de l'exécution.
Utilisez les tests test-glibc-security.py.
Placement aléatoire dans l'espace d'adressage. Randomisation de la disposition de l'espace d'adressage (ASLR)
ASLR est implémenté dans le noyau et le chargeur ELF place les structures les plus importantes à des adresses aléatoires : pile, tas, bibliothèques partagées, etc.
Cela rend plus difficile la prédiction des adresses lorsqu'un attaquant tente d'utiliser des exploits.
L'ASLR est modifié globalement via /proc/sys/kernel/randomize_va_space. Avant Ubuntu 8.10, la valeur était "1" (activé). Dans les versions ultérieures qui incluent brk ASLR, la valeur est définie sur "2" (activé avec brk ASLR).
Pile ASLR
Les résultats de chaque exécution du programme sont placés à différents endroits de la pile. Il est difficile de le trouver en mémoire et d'attaquer le programme en ajoutant une charge utile malveillante.
bibliothèques/mmap ASLR
Les bibliothèques sont chargées dynamiquement dans différents emplacements de mémoire, ce qui rend difficile pour un attaquant de trouver un point de retour.
La protection est disponible à partir du noyau 2.6.15 (Ubuntu 6.06).
Exécutif ASLR
Les programmes construits avec l'option "-fPIE -pie" sont chargés à différents endroits de la mémoire. Cela rend plus difficile d'attaquer ou de sauter à une adresse pour effectuer une attaque de modification de mémoire.
La protection est disponible à partir du noyau 2.6.25 (Ubuntu 8.04 LTS).
BRK ASLR
Comme exec ASLR, brk ASLR ajuste les adresses mémoire entre exec et brk pour les petites demandes d'allocation de mémoire. La randomisation du décalage de mémoire brk exec a été ajoutée dans le noyau 2.6.26 (Ubuntu 8.10).
VDSO ASLR
Chaque fois que le programme est exécuté, il place les résultats dans un vdso différent. Apparu pour la première fois dans le noyau 2.6.18 (x86, PPC) et 2.6.22 (x86_64), mais n'était pas inclus dans Ubuntu 6.10 en raison de COMPAT_VDSO, qui a été supprimé dans Ubuntu 8.04 LTS.
Protège contre les attaques jump-into-syscall.
Seul x86 était pris en charge par la glibc 2.6. glibc 2.7 (Ubuntu 8.04 LTS) supportait déjà x86_64 ASLR vdso.
Ceux qui ont besoin de l'ancien vdso statique pré-libc6 peuvent utiliser "vdso=2" comme paramètre du noyau et obtenir à nouveau COMPAT_VDSO.
Construire avec PIE
Tous les programmes construits avec l'option "-fPIE -pie" des exécutables indépendants de la position (PIE) peuvent tirer parti de la protection ASLR exec.
Cela protège contre les attaques de "retour au texte" et rend les attaques de modification de mémoire conventionnelles inutiles.
En raison de PIE, il y a une baisse importante des performances (5-10%) sur les architectures avec un petit nombre de registres à usage général (comme x86).
Par conséquent, PIE est utilisé pour un petit nombre de packages critiques pour la sécurité.
PIE pour x86_64 n'a pas de problèmes de dégradation des performances, il est donc utilisé pour tous les packages, mais nécessite de meilleurs tests.
| Sac plastique | 8.04LTS | 9.04 | 9.10 | 10.04LTS | 10.10 | 11.04 | 11.10 |
| ouvresh | Oui | Oui | Oui | Oui | Oui | Oui | Oui |
| apache2 | -- | Oui | Oui | Oui | Oui | Oui | Oui |
| lier9 | -- | Oui | Oui | Oui | Oui | Oui | Oui |
| openldap | -- | Oui | Oui | Oui | Oui | Oui | Oui |
| suffixe | -- | Oui | Oui | Oui | Oui | Oui | Oui |
| tasses | -- | Oui | Oui | Oui | Oui | Oui | Oui |
| postgresql-8.3 | -- | Oui | Oui | Oui | Oui | Oui | Oui |
| samba | -- | Oui | Oui | Oui | Oui | Oui | Oui |
| pigeonnier | -- | Oui | Oui | Oui | Oui | Oui | Oui |
| dhcp3 | -- | Oui | Oui | Oui | Oui | Oui | Oui |
| ntp | -- | -- | Oui | Oui | Oui | Oui | Oui |
| amavisd-nouveau | -- | -- | Oui | Oui | Oui | Oui | Oui |
| calmar | -- | -- | Oui | Oui | Oui | Oui | Oui |
| cyrus-sasl2 | -- | -- | Oui | Oui | Oui | Oui | Oui |
| exim4 | -- | -- | Oui | Oui | Oui | Oui | Oui |
| nagios3 | -- | -- | Oui | Oui | Oui | Oui | Oui |
| plugins nagios | -- | -- | Oui | Oui | Oui | Oui | Oui |
| xinetd | -- | -- | Oui | Oui | Oui | Oui | Oui |
| outils-ipsec | -- | -- | Oui | Oui | Oui | Oui | Oui |
| mysql-dfsg-5.1 | -- | -- | Oui | Oui | Oui | Oui | Oui |
| montrer | -- | -- | -- | Oui | Oui | Oui | Oui |
| Firefox | -- | -- | -- | Oui | Oui | Oui | Oui |
| centre de contrôle gnome | -- | -- | -- | -- | -- | Oui | Oui |
| tiff | -- | -- | -- | -- | -- | Oui | Oui |
| totem | -- | -- | -- | -- | -- | Oui | Oui |
| qemu-kvm | -- | -- | -- | -- | -- | -- | Oui |
| sabir | -- | -- | -- | -- | -- | -- | Oui |
Construire avec Fortify Source
Les programmes construits avec "-D_FORTIFY_SOURCE=2" (et -O1 ou supérieur) incluent plusieurs protections à la compilation et à l'exécution dans la glibc :
- les appels "sprintf", "strcpy" avec leurs bornes indéfinies sont remplacés par des fonctions associées avec N borné, lorsque la taille du tampon est connue à l'avance. Cela protège contre les débordements de mémoire.
- arrêter une attaque via le format de chaîne "%n" lorsque la chaîne se trouve dans un segment de mémoire avec accès en écriture.
- nécessitent de vérifier les codes de retour des fonctions et arguments les plus importants (par exemple, pour système, écriture, ouverture).
- nécessitent un masque explicite lors de la création du fichier.
Assemblage avec RELRO
Renforcement des programmes ELF pour lutter contre l'écrasement de la mémoire du chargeur de démarrage. Réduit le risque d'une attaque de style GOT-overwrite.
Utilisez les tests test-gcc-security.py.
Construire avec BIND_NOW
Marque les programmes ELF pour autoriser les caractères dynamiques au démarrage, au lieu d'être à la demande, également appelés "liaison immédiate".
Cela rend le GOT entièrement en lecture seule, en combinaison avec l'option RELRO.
Utilisez les tests test-built-binaries.py.
Mémoire non exécutable
Les processeurs modernes protègent les zones de mémoire de données (tas, pile) de l'exécution de code.
Cette technologie est connue sous le nom de Non-eXecute (NX) ou eXecute-Disable (XD). La protection réduit la capacité d'un attaquant à placer du code arbitraire.
La protection nécessite "PAE", qui permet également d'adresser au-dessus de 3 Go de RAM. Les noyaux 64bit et 32bit -server et -generic-pae sont déjà construits avec PAE.
À partir d'Ubuntu 9.10, la protection est partiellement émulée sur les noyaux 32 bits pour les processeurs qui ne prennent pas en charge le matériel NX.
Après le chargement, vous pouvez voir le degré de prise en charge de la protection NX :
- Matériel : [ 0.000000] Protection NX (Execute Disable) : active
- Émulation:
[ 0,000000] Utilisation des limites de segment x86 pour approximer la protection NX
Si vous ne voyez aucune mention de NX, vérifiez les paramètres de votre BIOS. Depuis Ubuntu 11.04, les paramètres du BIOS pour NX sont ignorés par le noyau.
| Ubuntu 9.04 et versions antérieures | ||||
| Le processeur prend en charge NX | Le processeur ne prend pas en charge NX | |||
| NX activé dans le BIOS | NX désactivé dans le BIOS | |||
| i386 | -386, -noyau générique (non-PAE) | nx n'est pas pris en charge | nx n'est pas pris en charge | nx n'est pas pris en charge |
| -noyau du serveur (PAE) | réel nx | nx n'est pas pris en charge | nx n'est pas pris en charge | |
| AMD64 | n'importe quel cœur (PAE) | réel nx | nx n'est pas pris en charge | nx n'est pas pris en charge |
Utilisez les tests test-kernel-security.py.
Protéger /proc/$pid/maps
Lorsque l'ASLR est en cours d'exécution, les cartes mémoire de processus actuelles deviennent très précieuses pour un attaquant. Le fichier de carte est lisible uniquement par le processus lui-même et le propriétaire du processus.
Disponible depuis le noyau 2.6.22.
Utilisez les tests test-kernel-security.py.
Limites des liens symboliques
La façon la plus courante d'exploiter ce défaut est de forcer root à utiliser un lien symbolique créé par un attaquant afin d'effectuer une action malveillante en tant que root.
À partir d'Ubuntu 10.10, les liens symboliques dans des répertoires comme /tmp ne peuvent pas être parcourus à moins que le "suiveur" et le propriétaire du répertoire soient les mêmes que le propriétaire du lien symbolique.
Ce mécanisme est contrôlé par le mécanisme Yama /proc/sys/kernel/yama/protected_sticky_symlinks. Yama est développé par Canonical.
Utilisez les tests test-kernel-security.py.
Restrictions de lien dur
Si les répertoires /etc/ et /home/ se trouvent sur la même partition, un utilisateur normal peut créer un lien physique vers le fichier de hachage de mot de passe /etc/shadow dans son dossier personnel. Bien sûr, si un certain fichier n'est pas lisible ou inscriptible par un utilisateur, le lien physique vers ce fichier aura les mêmes autorisations et ne sera donc pas non plus disponible pour cet utilisateur. Cependant, en utilisant des liens physiques, un attaquant peut "glisser" un tel fichier vers une application qui a le droit d'y accéder.
Yama vous permet de bloquer cette attaque en empêchant la création de liens physiques par des utilisateurs n'ayant pas les droits d'accès aux fichiers sources.
Le comportement est contrôlé par /proc/sys/kernel/yama/protected_nonaccess_hardlinks Yama.
champ d'application
Sans l'utilisation de la protection Yama appropriée, tout processus avec le privilège CAP_SYS_PTRACE peut accéder à la mémoire de tous les processus avec le même UID. Lors de l'utilisation de Yama, il est possible de limiter la portée de l'accès à la seule mémoire appartenant aux descendants d'un tel UID. processus.
Dans Ubuntu 10.10 et versions ultérieures, les utilisateurs ne peuvent pas déboguer les processus avec ptrace à moins d'en être les descendants.
Le comportement est contrôlé par /proc/sys/kernel/yama/ptrace_scope Yama.
Utilisez les tests test-kernel-security.py.
Durcissement du noyau
Activation des défenses du noyau pour rendre les attaques plus difficiles.
Protection d'adresse 0
Étant donné que le noyau et l'espace utilisateur partagent des adresses de mémoire virtuelle, la mémoire "NULL" doit être protégée et la mémoire "utilisateur" ne peut pas démarrer à l'adresse 0, empêchant ainsi les déréférencements d'adresse du noyau - une attaque "NULL déréférencement".
La protection est disponible depuis le noyau 2.6.22 via le paramètre sysctl "mmap_min_addr". Depuis Ubuntu 9.04, mmap_min_addr est intégré au noyau - adresse 64k sur x86, 32k sur ARM.
Utilisez les tests test-kernel-security.py.
Protéger /dev/mem
Certaines applications, telles que Xorg, nécessitent un accès direct à la mémoire physique dans l'espace utilisateur. Le fichier spécial /dev/mem fournit cet accès.
Dans le passé, il était possible de visualiser et de modifier la mémoire du noyau via ce fichier si un attaquant obtenait un accès root.
L'option CONFIG_STRICT_DEVMEM a été introduite pour bloquer de telles tentatives (à l'origine, l'option s'appelait CONFIG_NONPROMISC_DEVMEM).
Utilisez les tests test-kernel-security.py.
Désactivé /dev/kmem
Pour utilisateur moderne/dev/kmem n'est pas pertinent, car il était principalement utilisé par les attaquants pour télécharger des rootkits.
CONFIG_DEVKMEM est maintenant défini sur "n".
Le fichier /dev/kmem existe dans les versions d'Ubuntu 8.04 LTS à Ubuntu 9.04, mais n'a été associé à rien dans le noyau et n'est pas utilisé.
Utilisez les tests test-kernel-security.py.
Blocage du chargement du module
Dans Ubuntu 8.04 LTS et versions antérieures, il était possible de supprimer la fonctionnalité CAP_SYS_MODULES et d'empêcher ainsi le chargement de nouveaux modules du noyau.
Il s'agissait d'une autre couche de protection, afin de ne pas télécharger de rootkits au démarrage d'un système compromis.
Dans le noyau 2.6.25 (Ubuntu 8.10), cette fonctionnalité a disparu. Depuis Ubuntu 9.10, il est désormais possible de désactiver à nouveau les modules en définissant /proc/sys/kernel/modules_disabled sur "1".
Utilisez les tests test-kernel-security.py.
Section de données en lecture seule
Marquer la section des données du noyau en lecture seule garantit que les modifications sont bloquées. Cela permet de se protéger contre certains rootkits. Activé via l'option CONFIG_DEBUG_RODATA.
Utilisez les tests test-kernel-security.py.
Protection de la pile du noyau
En plus de protéger les programmes ELF dans l'espace utilisateur, le noyau peut protéger sa pile interne via l'option CONFIG_CC_STACKPROTECTOR.
Utilisez les tests test-kernel-security.py.
Module RO/NX
Cette fonctionnalité étend CONFIG_DEBUG_RODATA pour inclure des restrictions sur les modules de noyau chargés. Cela aide à résister aux exploits. Activé via le paramètre CONFIG_DEBUG_MODULE_RONX.
Utilisez les tests test-kernel-security.py.
Restriction d'affichage de l'adresse du noyau
Lorsque les attaquants essaient de développer un exploit qui fonctionne partout en utilisant les vulnérabilités du noyau, ils doivent connaître l'emplacement des structures internes du noyau.
Les adresses du noyau, en tant qu'informations importantes, sont inaccessibles aux utilisateurs ordinaires.
À partir d'Ubuntu 11.04, /proc/sys/kernel/kptr_restrict est défini sur "1" et bloque les fuites d'informations sur l'adresse du noyau.
De plus, divers fichiers et répertoires sont rendus en lecture seule par root.
/boot/vmlinuz*, /boot/System.map*, /sys/kernel/debug/, /proc/slabinfo
Utilisez les tests test-kernel-security.py.
Liste noire des protocoles rares
Normalement, le noyau permet à tous les protocoles réseau d'être automatiquement chargés à la demande via les macros MODULE_ALIAS_NETPROTO(PF_...).
Étant donné que bon nombre de ces protocoles sont obsolètes, rares et peu utiles pour l'utilisateur moyen d'Ubuntu, et peuvent contenir des vulnérabilités inconnues, ils ont été mis sur liste noire depuis Ubuntu 11.04.
Liste noire : ax25, netrom, x25, rose, decnet, econet, rds et af_802154.
Si l'un de ces protocoles est nécessaire, il peut être chargé via modprobe ou en éditant /etc/modprobe.d/blacklist-rare-network.conf.
Utilisez les tests test-kernel-security.py.
Filtrage des appels système
Les programmes peuvent filtrer les appels du noyau à l'aide de seccomp_filter.
Cela se fait dans des conteneurs ou des bacs à sable pour restreindre davantage les logiciels potentiellement non fiables.
Utilisez les tests test-kernel-security.py.
Résultat
Après lecture, il est clair que Canonical prend la sécurité d'Ubuntu au sérieux. Deux projets, AppArmor et Yama, sont depuis longtemps associés à Ubuntu et contribuent à améliorer la sécurité. Ubuntu, par défaut, n'ouvre pas de ports-portes inutiles sur le réseau et n'attend pas les connexions d'aventure sur sa tête. Des profils AppArmor ont été créés pour les programmes clés qui fonctionnent avec le réseau, ce qui permet de contrôler les programmes.
Votre ordinateur sera en sécurité avec Ubuntu !
Installation et configuration des outils d'administration, configuration réseau
Après avoir établi la base système opérateur ubuntu14.04 à partir d'une distribution minimale, la première chose dont vous devez vous occuper est de savoir à quel point il est confortable à gérer. Fondamentalement, ssh/telnet est utilisé pour configurer et gérer des serveurs basés sur *nix, mais récemment, des outils basés sur le Web sont également apparus tout à fait appropriés pour cela. J'utilise des solutions gratuites webmin Et Ajenti. Ces deux panneaux méritent l'attention, et malgré le fait qu'ils peuvent tout faire individuellement, chacun d'eux est meilleur pour quelque chose, il est donc préférable d'avoir les deux. Je dois noter que sur les serveurs de production de combat, de telles solutions ne sont pas installées sur la base de la sécurité. Pourtant, plus il y a de systèmes de contrôle, plus il y a de chances d'y trouver une vulnérabilité. Par conséquent, si vos exigences de sécurité sont au niveau de la "paranoïa", acceptez simplement le fait que vous devrez travailler avec le serveur uniquement via ssh (via la console).
configuration du réseau dans ubuntu 14.04
Pour communiquer avec notre serveur sur le réseau, vous devez d'abord le configurer. Par défaut, lors de l'installation, le réseau a été configuré automatiquement et si le programme d'installation a trouvé un serveur DHCP sur le réseau, il est fort probable qu'il ait déjà tout configuré selon les besoins. S'il n'y a pas de serveur DHCP sur le réseau, le programme d'installation a tout de même tout configuré en interrogeant le routeur auquel la carte réseau est connectée. Pour voir comment le réseau est actuellement configuré, tapez simplement dans le terminal :
Que voit-on ici :
Nous avons deux interfaces réseau eth0 et lo où lo est "l'interface de bouclage" et eth0 est le nom de notre carte réseau, et si lo est l'interface réseau inchangée, alors toutes les autres interfaces peuvent avoir un nom différent. Si dans unité système deux cartes réseau sont installées, leurs interfaces ressembleront très probablement à eth0 et eth1, etc. L'apparence du nom de l'interface dépend du type carte réseau, donc par exemple si la carte réseau fonctionne sur le protocole WiFi, elle aura très probablement un nom wlan0.
Pour configurer le réseau, éditez le fichier suivant :
sudo nano /etc/network/interfaces
Apportons-le à cette forme:
iface eth0 inet statique
adresse 192.168.0.184
masque réseau 255.255.255.0
passerelle 192.168.0.1
auto eth0
serveurs de noms DNS 8.8.8.8 8.8.4.4
Où: iface eth0 inet statique- indique que l'interface (iface eth0) est dans la plage d'adresses IPv4 (inet) avec une adresse IP statique (statique) ;
adresse 192.168.0.184- indique que l'adresse IP (adresse) de notre carte réseau est 192.168.0.184 ;
masque réseau 255.255.255.0- indique que notre masque de sous-réseau (netmask) est 255.255.255.0 ;
passerelle 192.168.0.1- adresse de passerelle par défaut 192.168.0.254 ;
auto eth0- indique au système que l'interface eth0 doit être activée automatiquement lorsque le système démarre avec les paramètres ci-dessus.
eth0— nom de l'interface connectée. La liste des interfaces peut être visualisée en tapant ifconfig
serveurs de noms DNS- Les serveurs DNS sont écrits avec un espace.
Comme vous pouvez le voir dans mon cas, j'ai décidé de définir une adresse IP statique 192.168.0.184
redémarrer le serveur avec la commande
Nous pingons notre serveur depuis le réseau et nous nous assurons qu'il est visible. Il est maintenant temps d'établir une connexion avec lui via SSH, pour cela nous allons en fait installer le serveur ssh :
sudo apt-get install ssh
Vous pouvez maintenant vous connecter à notre serveur via ssh via le programme putty, par exemple, maintenant vous pouvez entrer des commandes non pas manuellement, mais en copiant et collant les lignes dont nous avons besoin dans le client ssh, car à l'avenir cela facilitera étonnamment la configuration, comme vous verrez bientôt par vous-même :
TOUTES LES COMMANDES SOUS CETTE LIGNE SONT ENTRÉES AU NOM DU SUPERUTILISATEUR, et pour entrer en mode superutilisateur, vous devez taper :
Installation de webmin
echo "deb https://download.webmin.com/download/repository sarge contrib" >> /etc/apt/sources.list echo "deb https://webmin.mirror.somersettechsolutions.co.uk/repository sarge contrib" >> /etc/apt/sources.list wget https://www.webmin.com/jcameron-key.asc apt-key add jcameron-key.asc apt-get update apt-get install -y webmin
écho "deb https://download.webmin.com/download/repository sarge contrib">> écho "deb https://webmin.mirror.somersettechsolutions.co.uk/repository sarge contrib">> /etc/apt/sources. liste wgethttps : //www.webmin.com/jcameron-key.asc apt - key ajouter jcameron - key . ascendant apt-obtenir la mise à jour apt - obtenir l'installation - et webmin |
Tous! 6 commandes entrées séquentiellement et webmin est installé et configuré. Vous pouvez maintenant passer par le navigateur à l'adresse :
https://192.168.0.184:10000
Par défaut, webmin a l'air minimaliste, l'interface s'affiche en anglais par défaut, mais tout est personnalisable !
Nous procédons ainsi :
Ça se passe comme ça :
