ClamAV, ClamKt, RkHunter, Arch-Audit, Lynis.
1. ClamAV :
ClamAV ® est un anti-virus open-source permettant de détecter :
- Les chevaux de Troie
- Les virus
- Les logiciels malveillants
- Autres menaces malveillantes.
Installation :
sudo pacman -S clamav
MAJ de la liste des virus :
sudo freshclam
- Si ce message d'erreur apparaît :
WARNING: Clamd was NOT notified
WARNING: Clamd was NOT notified: Can't connect to clamd through /var/lib/clamav/clamd.sock
connect(): No such file or directory
Alors, créer le fichier clamd.sock
sudo touch /var/lib/clamav/clamd.sock
sudo chown clamav:clamav /var/lib/clamav/clamd.sock
Ensuite, modifier en root, le fichier :
/etc/clamav/clamd.conf
Et ajouter cette ligne :
LocalSocket /var/lib/clamav/clamd.sock
ou bien décommenter (suppression du symbole #) cette ligne si déjà existante.
Enregistrez les modifications.
Passons maintenant, à l'utilisation de ClamAV :
- Lancer la MAJ de la liste des virus :
sudo freshclam
Lancement du scan :
- Pour scanner uniquement le dossier home/user :
sudo clamscan -r /home/user
- Pour scanner le disque en entier :
sudo clamscan -r /
L'option -r apporte une analyse récursive : arborescence complète de dossiers (sous-dossiers) et fichiers.
Le fichier journal du scann (log) se trouve dans :
/var/log/clamav/
Lors de certains résultats jugés comme positifs, Il peut (parfois) s'agir simplement d'un avertissement, d'un "faux positif".
Allez faire un tour sur : https://www.virustotal.com/fr/ pour vérifier :
Ne pas uploader de fichier à caractère sensible, car les fichiers soumis sont consultables.
Pour supprimer un fichier infecté :
sudo clamscan --remove "nom du fichier"
Pour déplacer les fichiers infectés dans un répertoire :
sudo clamscan --move="chemin du répertoire"
Configurer un scan automatique de ClamAV avec cron :
Ouvrir le fichier de configuration des crons :
vim /etc/crontab
Pour configurer, par exemple, un scan quotidien à 23H00 sur le home de l’user, ajoutez à la fin du fichier la ligne suivante :
00 23 * * * clamscan -i -r /home/"nom de l'user"
Rappel : Les règles s'écrivent de la manière qui suit :
* (minutes) * (heures) * (jour) * (mois) * (jour de la semaine) tâche.
L'option -i affiche uniquement les fichiers infectés.
2. ClamTk : ClamAV en GUI
ClamTk est une interface graphique pour ClamAV.
Il est conçu pour scanner facilement.
Installation :
sudo pacman -S clamtk
Résultat d'une analyse :
Lorsque le scan est terminé, une fenêtre va s'afficher pour présenter les résultats positifs :
Une fois que tous les fichiers sont détectés, vous devez les sélectionner et les mettre en quarantaine, ou les supprimer.
3. Rkunter : Chasseur de RootKit
Rkhunter est un programme Unix qui permet de détecter les rootkits, portes dérobées et exploits. Pour cela, il compare les hash SHA-256, SHA-512, SHA1 et MD5 des fichiers importants avec les hash connus, qui sont accessibles à partir d'une base de données en ligne. Ainsi, il peut détecter les répertoires généralement utilisés par les rootkits, les permissions anormales, les fichiers cachés, les chaînes suspectes dans le kernel et peut effectuer des tests spécifiques.
Installer RkHunter :
sudo pacman -S rkhunter
Vérifier si dernière version :
sudo rkhunter --versioncheck
Mettre à jour le programme :
sudo rkhunter --update
Des fichiers peuvent être considérés comme suspects si la base de données n'est pas à jour.
Dans ce cas, lancez :
sudo rkhunter --propupd
Effectuer une vérification :
sudo rkhunter --checkall
Le fichier journal du scann (log) se trouve dans :
/var/log/rkhunter.log
Vérification avec juste les alertes importantes :
sudo rkhunter -c --rwo
Lister les différents tests effectués :
sudo rkhunter --list
De part l'exhaustivité des tests qu'il effectue, et à cause du nombre de systèmes sur lesquels il tourne, rkhunter renvoie généralement de nombreux avertissements.
L'analyse de ces avertissements (warnings) nécessite une bonne connaissance des systèmes Unix.
Dans une écrasante majorité des cas, ces avertissements son bénins et peuvent être ignorés.
4. Arch-Audit :
Outil de vérification des vulnérabilités logicielles pour Arch Linux. Arch-audit est un utilitaire pour Arch Linux et dérivés, qui permet d’identifier les paquets installés qui sont vulnérables à un problème de sécurité particulier.
Installation :
sudo pacman -S arch-audit
Utilisation :
lancer arch-audit
Complément d'informations : https://www.ostechnix.com/find-vulnerable-packages-arch-li…/
5. Lynis :
Lynis est un utilitaire Open Source qui va auditer jusqu'au moindre recoin de votre machine et vous faire un gros résumé de toutes les préconisations pour améliorer la sécurité et les performances de celle-ci.
De plus Lynis détecte automatiquement les services installés et en fait l'audit (Apache2, Squid, etc).
A l’issue de l’analyse, un rapport est généré et permet aux administrateurs système de consulter les éventuelles failles de sécurité à résoudre pour garantir la sécurité du serveur.
Installation :
sudo pacman -S lynis
Lancer Lynis :
sudo lynis audit system
Vérifications :
Les chargeurs et services de démarrage
La configuration du noyau, les modules chargés, ceux en cours d’exécution
La mémoire et les processus
Les utilisateurs et les groupes
Les points de montage et le système de fichiers racine
Les services NFS et BIND
Les mises à jour et les référentiels de vos logiciels
Les règles Iptables et la configurations SELinux
Les serveurs Web Apache et nginx
La configurations SSH
Le mot de passe root, MySQL et les services LDAP
Les options PHP
Les options crontab / cron et ATD
Le démon NTP
L’expiration du certificat SSL
La présence de malwares
Les répertoires personnels.
Fichier log : var/log/lynis.log
Sources :
Morpheus.