Journal Linux, les failles, les virus et le grand public

Posté par  .
Étiquettes : aucune
0
18
mai
2005
Je dirais qu'il existe 2 types de virus, ceux qui exploitent les failles des logiciels/os et ceux qui exploitent les faiblesses de l'être humain.

La 1ère catégorie a peu d'impact sur les systèmes à jour. Les mises à jour de linux avec les systèmes de packages gérés par les distributions permettent aussi de diminuer le risque, car l'utilisateur met en général toute sa distribution à jour d'un coup.
Cependant, le grand public n'est pas encore forcement sensibilisé à ces problèmes de mises à jour et de failles de sécurité.
Je pense que les distributions devraient proposer une sorte d'outil qui prévient visuellement l'utilisateur qu'il y a des mises à jour disponibles (cela existe-t-il déjà pour certaines distributions ?).

La 2ème catégorie est plus problématique, car ce qui pose problème ce sont la naïveté et la méconnaissance de l'informatique entre autres.
Linux et son système de bits d'exécution permet de réduire énormément ce problème, mais il existe encore quelques cas qui permettent d'infecter une machine :
- décompression d'une archive .tar.gz qui contient des fichiers exécutables (téléchargée sur internet ou reçu par mail ou messagerie instantanée)
- modification manuelle des droits d'exécution d'un fichier (en console ou en mode graphique)

Un utilisateur n'a par défaut pas le droit de rajouter de programme dans les dossiers du système, il peut uniquement écrire dans ~ et /tmp et c'est à ces endroits que les virus vont être enregistrés par l'utilisateur.

Quelle solution existante pour résoudre ce problème, sachant que l'utilisateur peut aussi installer des programmes utiles non fourni par sa distribution ?

Pour répondra à cette question, il faut d'abord définir différents profils d'utilisation d'une machine Linux :
1. Machine perso, mono-utilisateur
2. Machine multi-utilisateurs (famille ou entreprise)
3. Machine multi-utilisateurs administrée par personne/tout le monde

Solutions :
- un noexec sur les partitions /tmp et /home :
* il faut obligatoirement que /tmp et /home soient sur des partitions séparées
* les programmes utiles dans ~ et /tmp ne fonctionnent plus
=- utile dans le cas où un administrateur veut volontairement brider ses utilisateurs, mais très génant pour les autres cas.

- autre solution ?
  • # Ca existe déjà pour le 1) ...

    Posté par  . Évalué à 2.

    ... sous Ubuntu (peut être Kubuntu, je ne sais pas).

    Il y a dans la barre des tâches un notificateur de mise à jour qui apparaît quand il y a des mises à jour disponible depuis la Hoary. Ca marche plutôt bien pour l'instant.
  • # Maj

    Posté par  . Évalué à 1.


    Je pense que les distributions devraient proposer une sorte d'outil qui prévient visuellement l'utilisateur qu'il y a des mises à jour disponibles (cela existe-t-il déjà pour certaines distributions ?).


    Oui, au moins chez Mandriva et Suse.
    Pour le reste, je sais pas.

    Mais si ca prévient des maj sécu, à ma connaissance ca ne te dit pas que ton Gimp n'est plus à jours (mais je me trompe peut être).
    Mais ca va bien finir par arriver...
    • [^] # Re: Maj

      Posté par  . Évalué à 2.

      Fedora aussi
  • # Lancer Bastille ?

    Posté par  (site web personnel, Mastodon) . Évalué à 5.

    Bastille :

    The Bastille Hardening program "locks down" an operating system, proactively configuring the system for increased security and decreasing its susceptibility to compromise. Bastille can also assess a system's current state of hardening, granularly reporting on each of the security settings with which it works.


    lien :
    http://www.bastille-linux.org/(...)

    Y.
  • # noexec insuffisant

    Posté par  (site web personnel) . Évalué à 10.

    noexec ne suffit pas. C'est contournable très facilement : soit c'est un script et

    /bin/bash ./virus.sh

    suffira. Soit c'est un exécutable ELF et

    /lib/ld-linux.so.2 ./virus

    fonctionnera.

    (N'essayez pas le chmod -x /lib/ld-linux.so.2, c'est une mauvaise idée qui vous fera sortir le CD rescue).
    • [^] # Re: noexec insuffisant

      Posté par  (site web personnel) . Évalué à 5.

      Par contre, le patch GRsec permet de n'autoriser l'éxécution que de programmes situés dans des répertoires accessibles en écriture au seul root.
      Et on peut limiter cette restriction à un seul groupe d'utilisateurs.
    • [^] # Re: noexec insuffisant

      Posté par  (site web personnel) . Évalué à 0.

      En effet, pourquoi personne n'a jamais pensé à boucher cette faille dans le CVS de bash et dans celui de la glibc ?

      Je moinsse, tu moinsses, il moinsse, nos bots moinssent ...

    • [^] # Re: noexec insuffisant

      Posté par  . Évalué à 2.

      Je pensais à ça, aussi, mais j'ai une objection : Comment tu exécutes ces commandes automatiquement ?
      A part demander à l'utilisateur explicitement de taper les commandes (ésotériques), je vois pas.
      J'ai pensé aussi à insérer une ligne dans le .bashrc ou un fichier exécuté au démarrage, mais il faut aussi ... un script, pas exécutable automatiquement à priori. Donc c'est déja une barrière non négligeable, sauf si j'ai loupé un épisode. C'est déja bien plus compliqué que de double cliquer sur un fichier.
      • [^] # Re: noexec insuffisant

        Posté par  . Évalué à 2.

        Ah si, je vois en fait, un gestionnaire de fichier/shell configuré pour ouvir les .py avec python, les .sh avec bash et caetera. Mais je crois pas que ce soit le cas par défaut.
    • [^] # Re: noexec insuffisant

      Posté par  (Mastodon) . Évalué à 1.

      (N'essayez pas le chmod -x /lib/ld-linux.so.2, c'est une mauvaise idée qui vous fera sortir le CD rescue).

      Il y a une façon plus technique de résoudre ce dilemne: http://pafoo.net/uninstallglibc/uninstglibc.html(...)

      ----
      je suis déja retourné dans la piscine...
  • # man bash

    Posté par  (site web personnel) . Évalué à -3.

    je crois qu avec 'source' ou 'exec' tu peux executer un fichier non executable ... mais pas trop sur.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.