Bien que les systèmes Linux soient souvent perçus comme extrêmement sécurisés, il subsiste des menaces qui méritent une attention particulière.
Les rootkits, les virus, les rançongiciels et d’autres logiciels malveillants peuvent cibler et perturber les serveurs Linux.
Quel que soit le système d’exploitation, la mise en place de mesures de sécurité est indispensable pour la protection des serveurs. De grandes entreprises et organisations ont pris l’initiative de développer des outils capables de détecter, corriger et prévenir les vulnérabilités et les logiciels malveillants.
Heureusement, des outils gratuits ou peu coûteux sont disponibles pour vous aider dans ce processus. Ils peuvent identifier les failles de sécurité dans diverses parties d’un serveur Linux.
Lynis
Lynis est un outil de sécurité réputé, souvent préféré par les experts Linux. Il fonctionne également sur les systèmes Unix et macOS. Cette application open source est utilisée depuis 2007 sous licence GPL.
Lynis est capable de détecter les failles de sécurité et les erreurs de configuration. Plus qu’une simple identification, il propose des solutions correctives. Pour obtenir des rapports d’audit détaillés, il est nécessaire de l’exécuter directement sur le système.
L’installation n’est pas nécessaire pour utiliser Lynis. Vous pouvez l’extraire d’un package téléchargé ou d’une archive tar et l’exécuter. Vous pouvez également le récupérer via un clone Git pour accéder à la documentation complète et au code source.
Conçu par Michael Boelen, également créateur de Rkhunter, Lynis propose des services adaptés aux particuliers et aux entreprises, offrant des performances exceptionnelles dans les deux cas.
Chkrootkit
Comme son nom l’indique, chkrootkit est conçu pour détecter la présence de rootkits. Les rootkits sont des logiciels malveillants qui peuvent accorder un accès non autorisé à un serveur. Ils représentent un risque important pour les serveurs Linux.
Chkrootkit est un outil largement utilisé dans les environnements Unix pour la détection de rootkits. Il utilise les commandes Linux ‘strings’ et ‘grep’ pour identifier les problèmes.
Il peut être exécuté depuis un répertoire alternatif ou un disque de secours, particulièrement utile pour vérifier un système potentiellement compromis. Les différents composants de Chkrootkit recherchent les entrées supprimées dans les fichiers « wtmp » et « lastlog », les enregistrements de sniffer, les fichiers de configuration de rootkit, les entrées cachées dans « /proc » ou les appels au programme « readdir ».
Pour utiliser chkrootkit, vous devez télécharger la dernière version, extraire les fichiers sources, les compiler et lancer le programme.
Rkhunter
En 2003, Michael Boelen a créé Rkhunter (Rootkit Hunter). Cet outil adapté aux systèmes POSIX aide à la détection des rootkits et autres vulnérabilités. Rkhunter analyse en profondeur les fichiers (cachés ou visibles), les répertoires par défaut, les modules du noyau et les permissions mal configurées.
Après une analyse, il compare les résultats à des bases de données de références sécurisées pour détecter les programmes suspects. Ecrit en Bash, Rkhunter fonctionne non seulement sur Linux, mais également sur presque toutes les versions d’Unix.
ClamAV
Développé en C++, ClamAV est un antivirus open source qui détecte les virus, les chevaux de Troie et autres logiciels malveillants. Cet outil gratuit est utilisé pour analyser les données personnelles, y compris les emails, et sert également de scanner côté serveur.
Initialement conçu pour Unix, ClamAV est compatible avec Linux, BSD, AIX, macOS, OSF, OpenVMS et Solaris grâce à des versions tierces. Sa base de données est régulièrement mise à jour pour identifier les menaces les plus récentes. Il permet une analyse en ligne de commande et offre un démon évolutif multithread pour une analyse plus rapide.
Il analyse différents types de fichiers, y compris RAR, Zip, Gzip, Tar, Cabinet, OLE2, CHM, format SIS, BinHex et la majorité des formats de messagerie.
LMD
Linux Malware Detect, ou LMD, est un antivirus conçu pour les systèmes Linux, en particulier pour les environnements d’hébergement. Il utilise une base de données de signatures pour identifier et supprimer les codes malveillants.
LMD utilise non seulement sa propre base de données, mais également celles de ClamAV et Team Cymru pour détecter un plus grand nombre de menaces. Il collecte des données sur les menaces via des systèmes de détection d’intrusion en périphérie de réseau, ce qui lui permet de générer de nouvelles signatures pour les logiciels malveillants en activité.
LMD s’utilise en ligne de commande avec la commande « maldet ». Spécifiquement conçu pour Linux, il peut facilement analyser des serveurs Linux.
Radare2
Radare2 (R2) est un framework d’analyse de binaires et de rétro-ingénierie avec de solides capacités de détection. Il peut identifier les binaires malformés et fournir les outils nécessaires pour gérer et neutraliser les menaces potentielles. Il utilise une base de données NoSQL, sdb. Les chercheurs en sécurité et les développeurs logiciels apprécient cet outil pour sa capacité à présenter les données.
Radare2 offre la possibilité d’effectuer des analyses statiques/dynamiques et d’exploiter des logiciels sans avoir besoin de la ligne de commande. Il est recommandé pour toute recherche sur des données binaires.
OpenVAS
OpenVAS, ou Système ouvert d’évaluation de la vulnérabilité, est un système d’analyse et de gestion des vulnérabilités. Conçu pour les entreprises de toutes tailles, il permet de détecter les problèmes de sécurité cachés dans leur infrastructure. Initialement connu sous le nom de GNessUs, il a été renommé OpenVAS par Greenbone Networks.
Depuis la version 4.0, OpenVAS met régulièrement à jour sa base de données de Network Vulnerability Testing (NVT), généralement en moins de 24 heures. En juin 2016, elle comptait plus de 47 000 NVT.
OpenVAS est apprécié pour sa rapidité d’analyse et sa grande configurabilité. Il peut être utilisé depuis une machine virtuelle autonome pour effectuer des recherches sécurisées sur les logiciels malveillants. Son code source est disponible sous licence GNU GPL. De nombreux autres outils de détection de vulnérabilités s’appuient sur OpenVAS, ce qui en fait un outil essentiel pour les plateformes Linux.
REMnux
REMnux utilise des méthodes de rétro-ingénierie pour l’analyse des logiciels malveillants. Il détecte les problèmes liés aux navigateurs, aux extraits de code JavaScript et aux applets Flash, et peut également analyser les fichiers PDF et la mémoire. Il permet d’identifier les logiciels malveillants dans les dossiers et fichiers qui ne sont pas facilement analysables par d’autres outils.
Son efficacité réside dans ses capacités de décodage et de rétro-ingénierie. Il détermine les propriétés des programmes suspects et, étant léger, reste indétectable par les logiciels malveillants sophistiqués. Utilisable sur Linux et Windows, ses fonctionnalités peuvent être améliorées avec d’autres outils d’analyse.
Tiger
En 1992, l’université Texas A&M a commencé le développement de Tiger pour améliorer la sécurité de ses ordinateurs. Aujourd’hui, c’est un outil populaire pour les systèmes de type Unix. Tiger est à la fois un outil d’audit de sécurité et un système de détection d’intrusion.
Cet outil gratuit sous licence GPL repose sur les outils POSIX. Ensemble, ils constituent un cadre idéal pour améliorer la sécurité de votre serveur. Entièrement écrit en shell, Tiger est efficace pour vérifier l’état et la configuration du système et sa polyvalence le rend populaire parmi les utilisateurs d’outils POSIX.
Maltrail
Maltrail est un système de détection de trafic qui protège votre serveur en comparant le trafic à des listes noires de sites connues en ligne.
Il utilise également des mécanismes heuristiques pour détecter différents types de menaces, en particulier lorsque votre serveur est potentiellement compromis.
Un capteur installé sur le serveur détecte le trafic et l’envoie au serveur Maltrail. Le système de détection vérifie si le trafic est légitime.
YARA
Conçu pour Linux, Windows et macOS, YARA (Yet Another Ridiculous Acronym) est un outil essentiel pour la recherche et la détection de logiciels malveillants. Il utilise des motifs textuels ou binaires pour simplifier et accélérer le processus de détection.
YARA offre des fonctionnalités supplémentaires, notamment avec la bibliothèque OpenSSL. Même sans cette bibliothèque, YARA permet une recherche de base de logiciels malveillants via un moteur basé sur des règles. Il peut également être utilisé avec le Cuckoo Sandbox, un environnement sandbox basé sur Python pour des recherches sécurisées sur les logiciels malveillants.
Comment choisir le meilleur outil ?
Tous les outils mentionnés sont efficaces. La popularité d’un outil dans l’environnement Linux est un gage de confiance, car ils sont utilisés par de nombreux experts. Cependant, il est important de noter que chaque application dépend souvent d’autres programmes, comme c’est le cas pour ClamAV et OpenVAS.
Il est essentiel de comprendre les besoins de votre système et les zones potentielles de vulnérabilité. Commencez par utiliser un outil léger pour identifier les zones qui nécessitent votre attention, puis utilisez l’outil le plus approprié pour résoudre le problème.