Optimisation de la sécurité de la performance et virtualisation d'un serveur linux.

1.4.2 Étude des failles de sécurité d'un système Linux

Selon Secunia, qui est une entreprise danoise spécialisée dans la sécurité informatique, notamment dans le suivi de vulnérabilités logicielles 66 % des vulnérabilités peut être exploitée à distance, ce qui signifie qu'ils sont exposés à un attaquant qui ne dispose pas d'un compte sur le système, 17 % des vulnérabilités peut permettre à un pirate d'élever ses privilèges sur le système vulnérable, ce qui signifie que le pirate peut être en mesure d'obtenir les privilèges root et causer des dommages graves illimité.[9]

La question se pose quelles vulnérabilités des systèmes d'exploitation Linux sont le plus souvent ciblés par des attaquants malveillants. Bien qu'il y ait un flux non-arrêt de vulnérabilités exploitables à distance Linux, mais seulement quelques-uns d'entre eux ont été utilisés pour les exploits réels contre des nombreux de serveurs.

L'expérience montre que toute application a des failles; les attaquants ne perdent pas leur temps à faire de la recherche sur la résolution d'un équation de second degré, ils essaient de repérer les failles et ils les exploitent.

Ci - dessous, je présente la liste des vulnérabilités plus couramment exploitée qui représentent un vrai danger en ignorant les vulnérabilités liées aux applications hébergées sur le serveur.

Secure Shell (SSH) est un programme utilisé pour se connecter à un autre système sur un réseau, exécuter des commandes sur une machine distante et déplacer des fichiers d'une machine à une autre. Il fournit l'authentification forte et des communications sécurisées sur des canaux de communication non sécurisés. SSH est conçu comme un remplaçant pour rlogin , rsh et rcp . De plus, ssh fournit des connexions sécurisées. SSH se présente comme une vulnérabilité en raison de la complexité du protocole et sa mise en oeuvre est la façon la plus courante d'entrer dans le système à distance.

Les versions obsolètes de SSH peuvent permettre à un utilisateur malveillant de se connecter avec un autre utilisateur, d'insérer des commandes arbitraires en une session, ou pour obtenir un accès root distant au serveur SSH.

Avec l'utilisation d'un client SSH comme Putty, un bloc de code peut être ajouter en terminal ce que permet d'allouer un tableau de taille zéro, ce qui renvoie un pointeur en propre espace d'adressage coté serveur. Un attaquant pourrait envoyer un long paquet spécialement conçu qui exploite cette condition, ce qui exécute un code arbitraire sur le serveur. On parle d'un dépassement de tampon.

Problèmes d' authentification générale Linux tels que les comptes sans mot de passe ou des mots de passe faibles : une des failles de sécurité les plus communes à tous les systèmes est la mise en place de mots de passe à bas niveau de complexité voire leur absence. Pour cela, l'administrateur du système doit être conscient de l'importance de la mise en place de mots de passe avec un certain degré de complexité. La préconisation générale est que le mot de passe respecte un certain nombre de règles : Il doit être composé d'un minimum de 8 éléments Il doit contenir des caractères, chiffres, caractères spéciaux Il doit contenir des caractères majuscules et minuscules Il doit être changé régulièrement. Mise en place d'un période de rotation. Il ne doit pas contenir des éléments du login.

L'une des Vulnérabilités fréquentes de mot de passe est l'existence d'un ou plusieurs comptes avec des mots de passe peu résistants ce qui facilite son identification en un peu de temps avec des logiciels spéciales. L'existence d'un compte par défaut avec un mot de passe connu de tous les experts lors de l'installation d'un nouveau système ou logiciel, avoir un mot de passe qui a perdu son caractère secret, fonction de hachage utilisé par système pour la sauvegarde d'un mot de passe en un format irréversible est non fiable, les attaques sur les mots de passe tels que password cracking,le cassage par "Brute Force" ou l'attaque par dictionnaire montrent le risque lié à cette

10 Chapitre 1. Étude préliminaire

vulnérabilité

Les Ports ouverts : chaque application, service, logiciel installé ouvre un certain nombre de ports pour pouvoir fonctionner. La majorité de ces programmes est installée par défaut par Linux et leur présence n'est pas toujours utile.

À l'aide des ports ouverts, l'attaquant peut savoir les services qui tournent, de trouver leurs failles et les exploiter dans son attaque pour aller plus loin

Anciennes versions de logiciels : Linux étant loin d'être parfait, des failles sont découvertes quotidiennement sur la panoplie des logiciels, services qu'il héberge. Les éditeurs des logiciels essayent de temps en temps de corriger les failles de leurs applications et les mettre à jour, car à chaque fois qu'une faille est découverte, elle sera publiée est exploitable par tous les intéressants.

Configuration incorrecte et incomplète de programmes Les nouveaux programmas installés possèdent des configurations par défaut, cela présente une vulnérabilité liée à Une configuration incorrecte ou une faille incluse dans cette configuration.

Apache Web Server : les vulnérabilités dans l'implémentation Apache du serveur Web et les composants associés peuvent se traduire par déni de service, la divulgation d'informations, site web défiguration, l'accès root à distance, ou d'innombrables autres résultats défavorables.

Vulnérabilité de dépassement de mémoire tampon dans GNU C Library (glibc) Si votre glibc version est inférieur à 2.18, vous devez supposer que votre serveur est vulnérable. Dans notre cas, la version de glibc est 2.12.

FIGURE 1.4 - Version de glibc

Cette vulnérabilité permet aux acteurs locaux ou distants afin d' exécuter du code arbitraire dans le cadre du privilège d'utilisateur exécutant la fonction gethostbyname (). Cette vulnérabilité touche toutes les distributions CentOS 5.x, 6.x, 7.x .

Qualsys, qui a signalé le bug a été en mesure d'exploiter à distance ce bogue dans un serveur. Alternativement, programme de test publié par Qualsys exploite la vulnérabilité pour prendre contrôle du serveur.voir ( http :// www.openwall.com/lists/oss-security/2015/01/27/9).

Vulnérabilité dans le service DNS BIND Le 28 Juillet 2015, Internet Systems Consortium a annoncé une vulnérabilité critique (CVE-2015-5477) dans tous les serveurs DNS BIND où les versions de 9.1.0 à 9.9.7-P1. Elle permet à un attaquant distant d'exploiter une erreur dans le traitement des requêtes TKEY pour lancer une attaque par déni de service (DoS) qui va provoquer le crash du serveur.

FIGURE 1.5 - Version bind du serveur

1.4. Audit de sécurité 11

La vulnérabilité de Bash "Shell Shock" Si vous avez un web Linux serveur d' hébergement, il a Bash pour traiter certaines commandes et si vous ne l' avez pas expressément patché il, supposer que votre serveur est vulnérable à pirater. Linux serveurs d' hébergement Web est généralement activé avec les modules CGI, et ils pourraient permettre aux commandes d'être transmis à Bash, ouvrant ainsi les portes aux pirates. Cette vulnérabilité permet aux pirates aussi d'exécuter des commandes arbitraires et d'obtenir un accès non autorisé au système. Ce problème est particulièrement dangereux, car il existe de nombreuses façons possibles Bash peut être appelé par une application. Toutes les versions centos antérieures à celles qui sont énumérées les mises à jour pour cette question sont vulnérables à un certain degré.

Un pirate qui désire nuire une à une société par des attaques pratique presque toujours de la même manière, il s'informe des failles de sécurité et les exploite.La reste de cette partie décrit en détail cette stratégie.