2021-02-14 09:55 Temps de lecture : 8 min
Linux

Comment vérifier les rootkits sous Linux avec Tiger

Êtes-vous préoccupé par la présence possible d'un rootkit sur votre serveur Linux, votre ordinateur de bureau ou portable ? Pour vérifier l'existence de rootkits et les éliminer, une analyse approfondie de votre système est primordiale. Tiger se distingue comme l'un des outils les plus efficaces pour la détection de rootkits sous Linux. Son exécution génère un rapport de sécurité détaillé de votre système Linux, révélant les éventuels problèmes, y compris la présence de rootkits.

Ce guide vous expliquera comment installer l'outil de sécurité Tiger et comment l'utiliser pour identifier les rootkits malveillants.

Installation de Tiger

Tiger n'est généralement pas inclus par défaut dans les distributions Linux. Par conséquent, avant d'examiner l'utilisation de cet outil, nous devons aborder son installation. Pour installer Tiger sans compiler le code source, vous aurez besoin d'une distribution telle qu'Ubuntu, Debian ou Arch Linux.

Ubuntu

Tiger est disponible depuis longtemps dans les dépôts de logiciels Ubuntu. Pour l'installer, ouvrez un terminal et exécutez la commande apt suivante :

sudo apt install tiger

Debian

Debian propose également Tiger, qui peut être installé avec la commande Apt-get install :

sudo apt-get install tiger

Arch Linux

Le logiciel de sécurité Tiger est disponible sur Arch Linux via l'AUR (Arch User Repository). Suivez ces étapes pour l'installer sur votre système :

Étape 1 : Installez les paquets nécessaires pour l'installation manuelle de paquets AUR. Il s'agit de Git et Base-devel.

sudo pacman -S git base-devel

Étape 2 : Clonez le snapshot Tiger AUR sur votre machine Arch en utilisant la commande git clone :

git clone https://aur.archlinux.org/tiger.git

Étape 3 : Déplacez-vous depuis le répertoire par défaut (home) vers le nouveau dossier tiger, contenant le fichier pkgbuild :

cd tiger

Étape 4 : Générez un package d'installation Arch pour Tiger. La création du package se fait avec la commande makepkg, mais notez que parfois, la génération peut échouer en raison de problèmes de dépendance. Si cela se produit, consultez la page officielle Tiger AUR pour les dépendances. Les commentaires des utilisateurs peuvent également être utiles.

makepkg -sri

Fedora et OpenSUSE

Malheureusement, Fedora, OpenSUSE et autres distributions Linux basées sur RPM / RedHat ne proposent pas de package binaire facile à installer pour Tiger. Pour l'utiliser, envisagez de convertir le paquet DEB avec alien, ou suivez les instructions du code source ci-dessous.

Installation générique sur Linux

Pour compiler Tiger à partir des sources, clonez le code. Dans un terminal, suivez ces étapes :

git clone https://git.savannah.nongnu.org/git/tiger.git

Installez le programme en exécutant le script shell inclus :

sudo ./install.sh

Sinon, pour l'exécuter sans l'installer :

sudo ./tiger

Recherche de rootkits sous Linux

Tiger est une application automatisée. Elle ne dispose pas d'options ou de commutateurs que les utilisateurs peuvent spécifier en ligne de commande. L'utilisateur ne peut pas "exécuter la recherche de rootkit" isolément. À la place, Tiger effectue une analyse complète.

À chaque exécution, le programme examine divers types de menaces de sécurité sur le système. Vous pourrez observer tout ce qui est scanné. Voici quelques éléments analysés par Tiger :

  • Fichiers de mots de passe Linux
  • Fichiers .rhost
  • Fichiers .netrc
  • Fichiers ttytab, securetty et les fichiers de configuration de connexion
  • Fichiers de groupe
  • Paramètres du chemin Bash
  • Vérifications de rootkit
  • Entrées de démarrage Cron
  • Détection d'intrusion
  • Fichiers de configuration SSH
  • Processus en écoute
  • Fichiers de configuration FTP

Pour lancer une analyse de sécurité avec Tiger sous Linux, obtenez un accès root via la commande su ou sudo -s :

su -

ou

sudo -s

Avec les privilèges root, exécutez la commande tiger pour lancer l'audit de sécurité :

tiger

Laissez la commande s'exécuter et suivez le processus d'audit. Elle affichera ce qu'elle examine et comment elle interagit avec votre système Linux. Une fois l'audit terminé, Tiger affichera l'emplacement du rapport de sécurité dans le terminal.

Consultation des journaux Tiger

Pour savoir si un rootkit est présent sur votre système Linux, vous devez consulter le rapport de sécurité.

Pour accéder au rapport de sécurité Tiger, ouvrez un terminal et utilisez la commande CD pour vous déplacer vers /var/log/tiger.

Note : Linux n'autorise pas les utilisateurs non root à accéder à /var/log. Vous devez utiliser su.

su -

ou

sudo -s

Ensuite, accédez au dossier du journal avec :

cd /var/log/tiger

Dans le répertoire des journaux de Tiger, exécutez la commande ls. Elle affichera tous les fichiers du répertoire :

ls

Sélectionnez (avec la souris) le nom du fichier de rapport de sécurité affiché par ls. Puis, affichez son contenu avec la commande cat :

cat security.report.xxx.xxx-xx:xx

Examinez attentivement le rapport afin de déterminer si Tiger a détecté un rootkit sur votre système.

Suppression des rootkits sous Linux

La suppression de rootkits, même avec les meilleurs outils, est une opération délicate, qui n'est pas toujours couronnée de succès. Bien que des programmes existent pour aider à éliminer ces menaces, leur efficacité n'est pas garantie à 100%.

Si Tiger a identifié un code malveillant sur votre système Linux, il est fortement conseillé de sauvegarder vos fichiers importants, de créer une nouvelle clé USB amorçable et de procéder à une réinstallation complète du système d'exploitation.

Auteur
Julien Bernard
France

Rédacteur tech, guides pratiques et astuces numériques.

Articles similaires
2024-08-22
Comment sécuriser Nginx avec Let's Encrypt sur Rocky Linux 9
De nos jours, l'utilisation d'un serveur web dépourvu de la protection SSL/TLS est inconcevable. L'absence de cette sécurité non seulement...
2024-08-21
Comment installer Node.js sur Ubuntu 20.04
Node.js se présente comme une plateforme open-source, basée sur JavaScript, et prisée pour le développement d'applications web, mobiles et...
2024-08-19
Comment installer et utiliser Docker Compose sur Rocky Linux 9
Docker Compose se présente comme un instrument puissant, facilitant la gestion d'applications constituées de plusieurs conteneurs sur...
2024-08-18
Comment installer et sécuriser Redis sur Rocky Linux 9
Redis est un système de stockage de données en mémoire, réputé pour sa rapidité et son adaptabilité. Il est fréquemment employé pour la...
Article précédent
Comment obtenir un mode de présentation «semblable à un gnome» dans KDE Plasma avec qOverview
Article suivant
Comment améliorer la visibilité du pointeur de la souris sur Windows 10