OpenCVE est un outil qui répond à un besoin que nous rencontrons tous (ou presque) dans la gestion de la sécurité et du patch-management : la gestion des failles de sécurité et la veille en vulnérabilités.

Nous utilisons tous divers systèmes, logiciels, matériels... Tous ces éléments peuvent être touchés par des failles de sécurité, OpenCVE.io permet d'être alerté en cas de vulnérabilité sur une des briques de l'infrastructure. Car il est aujourd'hui impossible sans un outil ou des filtres d'analyser toutes les vulnérabilités qui sortent chaque jour.

Pour faire énormément de veille dans le cadre pro/perso, c'est un outil très important sur cet aspect. Il faut néanmoins avoir connaissance des différentes solutions qui sont utilisées sur son infrastructure et ce n'est pas toujours facile.

Distro_debian
Last edited by Steve Beattie 2 years ago
In Stock Debian

AppArmor should be available out of the box in the latest Debian distros. Please see http://wiki.debian.org/AppArmor

To enable the AppArmor in the Debian kernel, add “security=apparmor” to the kernel parameters, like this:

sed -i -e 's/GRUB_CMDLINE_LINUX_DEFAULT="/&security=apparmor /' /etc/default/grub

This sed command results in the following /etc/default/grub line on my system:

GRUB_CMDLINE_LINUX_DEFAULT=“security=apparmor quiet”

Then run

update-grub

Experimental AppArmor on Debian Jessie amd64
Kernel
Obtaining

mkdir -p ~/apparmor/ && cd ~/apparmor/
wget https://www.kernel.org/pub/linux/kernel/v3.x/linux-3.10.2.tar.xz
tar -xJf linux-3.10.2.tar.xz
cd linux-3.10.2/

Building

cd ~/apparmor/linux-3.10.2/

See if we can reuse the existing kernel configuration (CONFIG_IKCONFIG=y, CONFIG_IKCONFIG_PROC=y):

cp /proc/config.gz ./ && gzip -d config.gz

Tweak the kernel, enable AppArmor:

apt-get install libncurses-dev
make menuconfig

“Security options” ---> “AppArmor support”, “Enable AppArmor 2.4 compatability”
Installing

aptitude install dpkg-dev bc
cd ~/apparmor/linux-3.10.2/
make deb-pkg
dpkg -i ../linux-firmware-image_{version}.deb
dpkg -i ../linux-headers-{version}.deb
dpkg -i ../linux-image-{version}.deb

If the kernel is installed on another host, then symlinks for DKMS should be fixed.

rm /lib/modules/{version}/build; ln -s /usr/src/linux-headers-{version} /lib/modules/{version}/build
rm /lib/modules/{version}/source; ln -s /usr/src/linux-headers-{version} /lib/modules/{version}/source

About dpkg -i ../linux-libc-{version}.deb: /usr/include/x86_64-linux-gnu/asm seems to be missing from latest linux-libc-{version}.deb. If you installed linux-libc-{version}.deb, you can downgrade to Debian version with aptitude install linux-libc-dev=3.0.0-3.

Finally:

update-grub

Checking

Reboot under new kernel:

/sbin/shutdown -r now

or

reboot

Now see if AppArmor is loaded and enabled (should print “Y”):

cat /sys/module/apparmor/parameters/enabled

Tools

aptitude install apparmor apparmor-profiles
/etc/init.d/apparmor restart

Checking

cat /var/log/audit/audit.log | grep apparmor_parser

should display something like

type=AVC msg=audit(1316949034.097:108): apparmor=“STATUS” operation=“profile_load” name=“/bin/ping” pid=5207 comm=“apparmor_parser”

Tuning logs

Audit data by default is dropped into /var/log/messages via rsyslogd. That way, the data is severely capped by the kernel in order not to overload the messages log. To make audit data usable with AppArmor we should install auditd and tune it to keep large amounts of data:

apt-get install auditd
sed -i -re 's/max_log_file = [0-9]+/max_log_file = 200/' /etc/audit/auditd.conf
/etc/init.d/auditd restart

Sécuriser OpenSSH
21 Aug 2020

Sshd est le processus du serveur OpenSSH.

Il écoute les connexions entrantes à l’aide du protocole SSH et agit comme serveur pour le protocole.

Il gère l’authentification des utilisateurs, le chiffrement, les connexions de terminaux, les transferts de fichiers et le tunneling.

fzf: comment optimiser son utilisation de la ligne de commande

Portsentry : Sécurisez votre serveur Linux contre les tentatives d'intrusion !
par Ludovic Toinel il y a 6 jours
3 min de lecture

Si vous êtes utilisateur Linux, vous êtes à coup sûr familier à la commande Find et à sa complexité. Aujourd’hui, nous allons découvrir une alternative appelée fd.

Fd est un outil de recherche simple, convivial destiné à opérer plus rapidement que Find.

Ci-dessous quelques caractéristiques notables de fd:
Ne cherche pas les dossiers et fichiers cachés par défaut,
Ne cherche pas les fichiers .gitignore et .ignore par défaut,
Prend en compte l’Unicode,
Utilise un affichage coloré similaire à la comande ls,
Supporte les expression régulières.
Beaucoup plus rapide que find. Visitez ce lien pour voir des benchmarks réalisés entre find et fd.
Installation

Pour installer fd sur les systèmes basés sur Debian, rendez-vous sur la page des releases, puis téléchagez la toute dernière version. Installez-le ensuite l’outil à l’aide de dpkg.

$ wget https://github.com/sharkdp/fd/releases/download/v7.3.0/fd-musl_7.3.0_amd64.deb
$ sudo dpkg -i fd-musl_7.3.0_amd64.deb

Ci-dessous le menu d’aide de fd. Pour plus de détails, faîtes fd --help.

npm install -g gtop

afficher en temps réel la charge CPU, mémoire, réseau, les processus et diverses autres informations, le tout dans le terminal.

Let's make magic

Good article link:

• https://www.metal3d.org/ticket/reading-some-lines-from-a-file-in-terminal

Activer le protocole HTTP/2 sous Apache 2.4.17 et supérieur

PHP Malware Finder

Webshell finder,
kiddies hunter,
website cleaner.

https://github.com/nbs-system/php-malware-finder

Detect potentially malicious PHP files.

Scan Linux for Vulnerable Packages

How do you know wether your Linux server (which has no desktop update notifier or unattended security updates running) does need to be updated? Of course an

apt-get update && apt-get --dry-run upgrade

might give an indication. But what of the package upgrades do stand for security risks and whose are only simple bugfixes you do not care about?
Check using APT
One useful possibility is apticron which will tell you which packages should be upgraded and why. It presents you the package ChangeLog to decided wether you want to upgrade a package or not. Similar but less details is cron-apt which also informs you of new package updates.

Lynis

Open source auditing

https://cisofy.com/documentation/lynis/get-started/#installation-git

Lynis is an open source security auditing tool. Used by system administrators, security professionals, and auditors, to evaluate the security defenses of their Linux and UNIX-based systems. It runs on the host itself,

so it performs more extensive security scans than vulnerability scanners. It is also the client in our Lynis Enterprise offering.
Supported operating systems

Lynis runs on almost all UNIX-based systems and versions, including:

    AIX
    FreeBSD
    HP-UX
    Linux
    macOS
    NetBSD
    OpenBSD
    Solaris
    and others ```

How to use:
DirectoryIndex index.html index.php /_h5ai/public/index.php

Download:
https://release.larsjung.de/h5ai/h5ai-0.29.0.zip

Site :
https://larsjung.de/h5ai/

h5ai is a modern file indexer for HTTP web servers with focus on your files. Directories are displayed in a appealing way and browsing them is enhanced by different views, a breadcrumb and a tree overview. Initially h5ai was an acronym for HTML5 Apache Index but now it supports other web servers too.

See the demo directory with most features enabled. A reduced example and my actual use case is the release directory for the projects on this page.

Requires PHP 5.5+ and works fine with Apache httpd, lighttpd, nginx and Cherokee. Best user experience with the latest versions of Chrome, Firefox, Opera, Vivaldi, Safari and Edge, but a static fallback is provided for older browsers or if JavaScript is disabled.

/path/to/abuse.sh || true

checkinstall debian bash script apt

Les alternatives à Collectd - Wooster