Architecture, Administration et Opérations de Sécurité sous Linux
RÉSUMÉ DU MODULE
Section intitulée « RÉSUMÉ DU MODULE »Linux est un système d’exploitation open-source et modulaire, caractérisé par sa fiabilité, ses faibles exigences matérielles et son haut degré de personnalisation. Dans un Security Operations Center (SOC), Linux est la plateforme préférée car sa nature open-source permet de créer des environnements sur mesure spécifiquement pour l’analyse de sécurité. Le système d’exploitation est conçu avec une connectivité réseau native, facilitant le développement et le déploiement d’applications de sécurité basées sur le réseau.
L’Interface en Ligne de Commande (CLI), ou shell, sert d’interprète de commandes principal, offrant un mécanisme puissant aux analystes pour interagir avec le système localement et à distance. Une caractéristique de sécurité critique de Linux est le contrôle granulaire fourni par l’utilisateur root (superuser), qui possède une autorité absolue sur le système, y compris sur les fonctions de bas niveau telles que la pile réseau.
CONCEPTS CLÉS ET DÉFINITIONS
Section intitulée « CONCEPTS CLÉS ET DÉFINITIONS »- Distribution Linux (Distro) : Un paquet contenant le noyau Linux regroupé avec des outils et logiciels spécifiques. Exemples : Debian, Red Hat, Ubuntu, et des distros spécialisées comme Security Onion (pour le SOC) ou Kali Linux (pour les tests de pénétration).
- Shell : L’interprète de commandes (ex: Bash) qui traite les instructions saisies par l’utilisateur.
- Processus : Programmes en cours d’exécution dans le système, fonctionnant souvent en arrière-plan en tant que services (daemons).
- Montage (Mounting) : Processus de liaison d’une partition physique sur un périphérique bloc (disque dur, clé USB) à un répertoire (point de montage) pour le rendre accessible à l’OS.
- Fichiers Journaux (Log Files) : Enregistrements générés par les logiciels, les services ou l’OS pour suivre des événements spécifiques pour le dépannage et l’audit de sécurité.
TAXONOMIE TECHNIQUE ET CLASSIFICATION
Section intitulée « TAXONOMIE TECHNIQUE ET CLASSIFICATION »Catégorisation des Outils du SOC
Section intitulée « Catégorisation des Outils du SOC »Le tableau suivant classifie les outils standards utilisés au sein d’un SOC pour la surveillance et la défense.
| Type d’outil | Fonction Technique | Exemple |
|---|---|---|
| Capture de paquets | Observe et enregistre chaque détail d’une transaction réseau. | Wireshark / Tcpdump |
| Analyse de Malware | Exécute et observe le malware en toute sécurité dans un environnement isolé. | Cuckoo Sandbox |
| IDS/IPS | Inspection du trafic en temps réel pour déclencher des alertes ou bloquer des flux. | Snort / Suricata |
| SIEM | Analyse et corrélation en temps réel des alertes et des logs. | Security Onion / Sguil |
| Gestionnaire de Logs | Facilite la surveillance et le stockage de volumes élevés de logs. | Logstash / ELK |
| Système de Ticketing | Enregistre, assigne et suit les alertes et les tâches de sécurité. | RT / ServiceNow |
Permissions du Système de Fichiers Linux
Section intitulée « Permissions du Système de Fichiers Linux »Les permissions sont gérées à travers une triade d’entités : User (Propriétaire), Group, et Others. Elles sont souvent représentées en notation octale.
| Octal | Binaire | Type de Permission | Description |
|---|---|---|---|
| 4 | 100 | Lecture (r) | Permet de voir le contenu d’un fichier ou de lister un répertoire. |
| 2 | 010 | Écriture (w) | Permet de modifier un fichier ou d’ajouter/supprimer dans un répertoire. |
| 1 | 001 | Exécution (x) | Permet de lancer un programme ou d’entrer (cd) dans un répertoire. |
| 7 | 111 | Accès Total | Combinaison de Lecture, Écriture, et Exécution (4+2+1). |
| 0 | 000 | Aucun Accès | Toutes les permissions sont révoquées. |
ANALYSE OPÉRATIONNELLE
Section intitulée « ANALYSE OPÉRATIONNELLE »Identification des Processus et des Serveurs
Section intitulée « Identification des Processus et des Serveurs »Les analystes utilisent les commandes ps et netstat pour identifier les services actifs. La commande sudo ps -elf fournit une liste détaillée des processus avec le PID et le PPID (Parent PID).
netstat (Network Statistics) — Référence des Commutateurs (Switches)
Section intitulée « netstat (Network Statistics) — Référence des Commutateurs (Switches) »Dans l’examen CyberOps, netstat est l’outil privilégié pour corréler les connexions réseau actives avec les processus locaux. Une attention particulière est portée sur la capacité de cet outil à afficher les tables de routage.
| Commutateur | Fonction Technique | Application CyberOps |
|---|---|---|
-r (Route) | Affiche la table de routage du noyau. | Utilisé pour détecter des routes statiques non autorisées ou des passerelles malveillantes (MITM). |
-a (All) | Affiche toutes les connexions et les ports en écoute. | Identifie les backdoors (port en état LISTENING) en attente de connexion. |
-n (Numeric) | Affiche les adresses et ports au format numérique. | Évite la résolution DNS (plus rapide, empêche la détection par l’attaquant via les logs DNS). |
-o (Owner) | Affiche le PID associé à chaque connexion (Windows). | Crucial : Lie un socket réseau directement à un processus spécifique. |
-p (Protocol) | Filtre les résultats par protocole (TCP, UDP, ICMP). | Permet de cibler l’investigation sur un vecteur d’attaque spécifique. |
-s (Statistics) | Affiche les statistiques par protocole. | Détecte des volumes de trafic anormaux (DDoS ou exfiltration de données). |
Analyse Opérationnelle (Workflow de l’Analyste)
Section intitulée « Analyse Opérationnelle (Workflow de l’Analyste) »La commande netstat -ano est le standard de facto sur Windows pour l’investigation d’un hôte. Elle permet d’identifier : Qui (Foreign Address), Quoi (Local Port), et Comment (PID).
Scénario : Détection d’un Reverse Shell
Section intitulée « Scénario : Détection d’un Reverse Shell »- Exécution de
netstat -ano. - Observation d’une connexion
ESTABLISHEDvers une IP inconnue sur le port4444. - Identification du PID (ex:
3512). - Corrélation avec
tasklist /voups -elfpour identifier le binaire malveillant derrière ce PID.
Cartographie des ports critiques (Surface d’attaque) :
- Port 21 : FTP (Transfert de fichiers, non sécurisé).
- Port 22 : SSH (Accès distant sécurisé).
- Port 23 : Telnet (Accès distant non sécurisé, texte en clair).
- Port 25 : SMTP (Messagerie électronique).
- Port 53 : DNS (Service de noms de domaine - UDP/53).
- Port 80 : HTTP (Web, non chiffré).
- Port 443 : HTTPS (Web sécurisé via TLS).
Investigation des Fichiers Logs
Section intitulée « Investigation des Fichiers Logs »Les fichiers logs résident généralement dans /var/log. Une entrée de log efficace comprend :
- Horodatage (Timestamp) : Crucial pour la corrélation temporelle des incidents.
- Type : Catégorie (ex: error, info, warning).
- PID : Identifie l’instance exacte du processus ayant généré l’événement.
- Source/Client : Adresse IP ou utilisateur initiant la transaction.
- Description : Détails techniques de l’événement.
# Exemple : Surveillance en temps réel des logs systèmesudo tail -f /var/log/messagesCAS PRATIQUES
Section intitulée « CAS PRATIQUES »Durcissement (Hardening) et Vulnérabilités
Section intitulée « Durcissement (Hardening) et Vulnérabilités »- Test de Pénétration : Attaque simulée pour identifier les failles. Différent de l’IDS, qui est passif/défensif.
- Device Hardening : Désactiver les services inutiles, imposer des mots de passe forts, et restreindre l’accès physique (ex: désactiver l’auto-détection USB).
- Liens Symboliques vs Matériels :
- Symbolic Links (ln -s) : Pointent vers un nom de fichier. Si la source change de nom, le lien est “cassé”.
- Hard Links (ln) : Pointent vers l’inode (le bloc de données sur le disque). Ils fonctionnent même si le fichier source est renommé.
Rappel Fondamental : L’Inode
Section intitulée « Rappel Fondamental : L’Inode »Pour comprendre les liens, il faut savoir qu’un fichier Linux est divisé en deux :
- Le Nom : Ce que l’utilisateur voit dans un dossier.
- L’Inode : Un numéro unique qui pointe vers l’emplacement réel des données sur le disque.
Le Lien Symbolique (Symbolic/Soft Link)
Section intitulée « Le Lien Symbolique (Symbolic/Soft Link) »ln -s cible lien`C’est un fichier spécial qui contient uniquement le chemin d’accès (le nom) de la cible. C’est l’équivalent d’un raccourci Windows.
Avantages :
Section intitulée « Avantages : »- Multi-systèmes de fichiers : Peut pointer vers un fichier situé sur un autre disque ou partition.
- Pointage de répertoires : Peut être utilisé pour créer un lien vers un dossier.
- Indication de source : Affiche clairement l’emplacement de l’original (ex:
lien -> /home/user/cible).
Inconvénient :
Section intitulée « Inconvénient : »- Fragilité : Si le fichier original est renommé ou déplacé, le lien est “brisé” (lien orphelin).
Le Lien Matériel (Hard Link)
Section intitulée « Le Lien Matériel (Hard Link) »ln cible lien` (sans le -s)C’est une deuxième entrée d’annuaire qui pointe vers le même numéro d’Inode que l’original.
Avantages :
Section intitulée « Avantages : »- Robustesse : Si vous supprimez ou renommez l’original, les données restent accessibles via le lien matériel.
- Performance : Accès direct aux données (pas de résolution de chemin supplémentaire).
Limitations :
Section intitulée « Limitations : »- Même partition uniquement : Impossible de lier des fichiers entre deux disques/systèmes de fichiers différents (car les numéros d’Inode sont locaux à une partition).
- Pas de répertoires : Il est interdit de créer un lien matériel vers un répertoire (pour éviter les boucles système).
Tableau Comparatif
Section intitulée « Tableau Comparatif »| Caractéristique | Lien Symbolique (ln -s) | Lien Matériel (ln) |
|---|---|---|
| Pointe vers… | Le NOM du fichier | L’INODE (les données) |
| Traverse les disques | OUI (C’est son grand atout) | NON |
| Lien vers répertoire | OUI | NON |
| Si original supprimé | Lien brisé | Données préservées |
| Identifiable par | ls -l montre un l au début | ls -i montre le même ID Inode |
“Quels sont les avantages des liens symboliques ?” : Ils pointent vers des partitions différentes. Ils peuvent pointer vers des répertoires. Ils montrent l’emplacement d’origine.
Référence des Commandes Shell
Section intitulée « Référence des Commandes Shell »man [commande]: Affiche le manuel d’utilisation.pwd: Affiche le répertoire actuel (Print Working Directory).ls -l: Liste le contenu avec les permissions et propriétaires détaillés.lsblk: Liste les périphériques blocs et points de montage.cp / mv: Copier / Déplacer ou Renommer.sudo: Exécute avec les privilèges root.|(Pipe) : Combine deux commandes (la sortie de l’une devient l’entrée de l’autre).file: Determine le type de fichier , Identifie la vrai nature d’un fichier.
Analyse des Logs Linux (Mapping Forensique)
Section intitulée « Analyse des Logs Linux (Mapping Forensique) »| Log File Path | Catégorie | Fonction Technique |
|---|---|---|
/var/log/dmesg | Hardware | (A) Stocke les informations relatives aux périphériques matériels et à leurs pilotes (Kernel Ring Buffer). |
/var/log/auth.log | Auth (Debian) | (B) Utilisé par les distributions Debian/Ubuntu pour tous les événements liés à l’authentification. |
/var/log/messages | Generic | (C) Journaux d’activité système génériques et messages non critiques (Principalement sur RedHat/CentOS). |
/var/log/secure | Auth (RedHat) | (D) Utilisé par RedHat/CentOS pour le suivi des authentifications et des autorisations. |