La lecture des rapports de logs peut être parfois fastidieuse et prendre du temps. Voici quelques astuces pour vous faciliter la lecture des rapports de rkhunter :
1. Vérifier l’emplacement du rapport de rkhunter :
Le fichier de log de rkhunter est généralement situé dans /var/log/rkhunter.log. Si vous ne savez pas où se trouve le fichier, vous pouvez utiliser la commande suivante pour le localiser :
sudo rkhunter --propupd
Cela mettra à jour la base de données et vous donnera une indication de l’emplacement du fichier de log.
2. Utiliser less pour parcourir le fichier log :
Pour consulter le fichier de manière confortable dans le terminal, vous pouvez utiliser la commande less, qui permet de naviguer facilement dans le fichier avec des touches de navigation.
sudo less /var/log/rkhunter.log
Navigation avec less :
Utilisez les touches flèche haut/bas pour défiler ligne par ligne.
Appuyez sur Espace pour défiler page par page.
Tapez / suivi du mot que vous recherchez pour effectuer une recherche dans le fichier (par exemple : /warning).
3. Filtrer les lignes importantes (par exemple, les avertissements) :
Si vous souhaitez voir uniquement les avertissements ou les erreurs, vous pouvez filtrer le fichier avec grep. Par exemple, pour afficher toutes les lignes contenant le mot warning :
sudo grep 'Warning' /var/log/rkhunter.log
Ou si vous souhaitez voir les erreurs et les avertissements :
sudo egrep 'Warning|Error' /var/log/rkhunter.log
4. Envoyer le rapport vers un fichier texte ou HTML pour une lecture plus facile :
Vous pouvez également rediriger le rapport vers un fichier plus accessible, comme un fichier texte ou HTML, que vous pourrez lire avec un éditeur de texte ou un navigateur web.
Ensuite, vous pouvez ouvrir ce fichier avec votre éditeur de texte préféré (par exemple, nano, vim ou gedit) ou votre navigateur pour un meilleur confort de lecture.
5. Automatiser les rapports par mail :
Si vous souhaitez recevoir les rapports de rkhunter régulièrement, vous pouvez configurer un envoi automatique par email. Pour cela, modifiez la configuration dans /etc/rkhunter.conf en ajoutant votre email à l’option MAIL-ON-WARNING et activez le cron pour lancer rkhunter automatiquement.
MAIL-ON-WARNING="votreemail@example.com"
Cela vous permettra de recevoir directement les avertissements sans avoir à consulter manuellement le fichier de log.
Avec ces options, vous devriez pouvoir consulter les rapports de rkhunter plus confortablement.
Voici quelques solutions disponibles sous Debian pour détecter d’éventuels processus malveillants ou suspects sur le système :
rkhunter (Rootkit Hunter) :
C’est un outil qui analyse le système à la recherche de rootkits, backdoors et autres malwares potentiels. Il peut être installé avec :
sudo apt-get install rkhunter
Pour l’utiliser :
sudo rkhunter --check
chkrootkit :
Un autre outil populaire pour détecter les rootkits. Installation :
sudo apt-get install chkrootkit
Utilisation :
sudo chkrootkit
ClamAV :
Un antivirus open source qui peut scanner les fichiers et processus. Installation :
sudo apt-get install clamav
Pour scanner le système :
sudo clamscan -r /
Lynis :
Un outil d’audit de sécurité qui peut détecter des configurations suspectes. Installation :
sudo apt-get install lynis
Utilisation :
sudo lynis audit system
Les commandes usuelles
ps, top, htop : Ces commandes standard permettent de lister les processus en cours et d’identifier ceux qui semblent suspects (forte utilisation CPU/mémoire, noms étranges, etc).
netstat ou ss : Pour lister les connexions réseau actives et identifier d’éventuelles connexions suspectes.
Il est recommandé d’utiliser une combinaison de ces outils régulièrement pour une meilleure détection.
Aucun outil n’est parfait, mais ensemble ils peuvent aider à identifier des activités potentiellement malveillantes sur le système.
Security Onion est une distribution Linux robuste et gratuite conçue spécialement pour la surveillance de sécurité et la détection d’intrusions sur les réseaux. Elle intègre une suite impressionnante d’outils et d’applications de sécurité open-source qui en font un choix privilégié pour les professionnels de la cybersécurité souhaitant analyser et protéger leurs réseaux contre les menaces.
Fondé par Doug Burks en 2008, ce système est devenu une référence dans le domaine de la sécurité informatique, grâce à sa capacité à fournir une visibilité approfondie des activités réseau à travers une interface conviviale et des dashboards informatifs.
L’installation de Security Onion nécessite une machine dédiée capable de gérer le traitement de données réseau en temps réel et l’exécution simultanée de plusieurs applications de surveillance.
Dans le cadre de cet article, nous nous intéresserons à la mise en place de Security Onion sur un ordinateur recyclé, une démarche à la fois économique et écologique. La machine en question, qui date d’une dizaine d’années, a été équipée pour répondre aux besoins de cette tâche avec 24 Go de mémoire RAM, un disque SSD de 500 Go pour un accès rapide aux données, et un processeur Intel i5, assurant ainsi une base solide pour une installation efficace.
Le but de ce premier article est de vous guider à travers les étapes initiales d’installation de Security Onion sur cet équipement. Je vous propose de commencer par explorer les prérequis, la préparation de la machine et le processus d’installation proprement dit, en veillant à optimiser la configuration pour tirer le meilleur parti de l’ancienne configuration matérielle. Cela permettra non seulement de sécuriser votre réseau, mais aussi de redonner vie à un équipement autrement obsolète, en lui offrant une seconde vie au service de la cybersécurité.
Chapitre 1: Prérequis Minimaux pour l’Installation de Security Onion
Avant de plonger dans le vif du sujet, il est essentiel de s’assurer que votre équipement répond aux exigences nécessaires pour installer et exécuter Security Onion efficacement. Ce système d’exploitation de sécurité est conçu pour analyser et surveiller votre réseau en temps réel, ce qui nécessite une certaine puissance de traitement et une configuration adéquate. Voici donc les prérequis minimaux pour que votre installation soit un succès.
1. Configuration Matérielle Requise
Processeur: Un CPU multicœur est recommandé. Security Onion nécessite un processeur 64 bits, et un Intel i5 ou supérieur est idéal pour une performance optimale. Plus les cœurs sont nombreux et puissants, meilleure sera la capacité du système à gérer simultanément les divers outils de sécurité.
Mémoire RAM: Le minimum requis est de 8 Go de RAM, mais 16 Go ou plus sont fortement recommandés pour un traitement fluide des données, surtout si vous envisagez de surveiller un réseau de taille moyenne à grande.
Stockage: Un disque dur de 500 Go est le minimum requis pour commencer, mais un SSD (Solid State Drive) est préférable pour accélérer le démarrage des outils et le traitement des données. Un SSD de 500 Go ou plus est idéal, particulièrement si vous prévoyez de stocker et d’analyser beaucoup de données.
Carte réseau: Au moins deux interfaces réseau sont recommandées. Une sera utilisée pour la gestion de Security Onion et l’autre pour la surveillance du réseau. Des cartes réseau dédiées peuvent améliorer significativement la capacité de capture et d’analyse des paquets réseau.
Avec ces prérequis en main, vous êtes prêt à installer Security Onion sur votre machine dédiée. Assurez-vous que votre équipement répond à ces exigences minimales pour garantir une installation fluide et efficace. Dans le prochain chapitre, nous explorerons les étapes détaillées de l’installation de Security Onion, transformant notre équipement ancien en une puissante station de surveillance réseau.
Installation de l’OS
Je vais écrire cet article sous forme de compte-rendu de ce qui a fonctionné pour moi.
J’ai choisi de faire une installation basique (sans interface de bureau) pour éviter de charger la mule – qui est déjà bien gourmande !
En résumé, durant l’installation il va falloir entre autres définir une adresse IP pour la machine qui hébergera Security Onion (préférez une IP fixe) et définir également l’IP de la seule machine qui pourra passer le pare-feu intégré, avec login et mot de passe robuste (je me suis fait avoir lors de ma première tentative, en cliquant sur « non » il m’a fallu reprendre tout le processus d’installation !).
Ne vous inquiétez pas si l’installation dure un peu : chez moi ça a bien mis une bonne heure !
Une fois l’installation terminée vous devriez avoir le résumé des infos la façon de vous connecter depuis l’interface web :
C’est là que ça devient amusant : avec votre machine autorisée à vous connecter, rdv sur l’adresse IP du serveur SOC, entrez les logins & mot de passe définis pendant l’installation et tadaa, vous voilà connectés :
Ajouter une première machine
Par défaut, en vous baladant un peu vous allez voir quelques graphiques : il s’agit des infos de la machine qui héberge Security Onion. C’est intéressant, mais l’objectif de cet outil est d’en faire un centre pour les appareils de votre réseau (et même de votre réseau lui-même !). Pour ce qui va suivre – et pendant que c’est frais dans ma tête – je vais me contenter d’être factuel et d’aller à l’essentiel ; je reviendrai plus tard sur les explications détaillées.
Pour ce faire, c’est là encore d’une facilité déconcertante :
RDV dans l’onglet « Elastic Fleet » puis cliquez sur « ajouter un agent » :
Dans la fenêtre qui s’ouvre sur la droite, choisissez « Endpoints-initial »
Laissez l’étape 2 par défaut
A l’étape 3, choisissez le type de machine que vous souhaitez surveiller. Pour l’exemple j’ai commencé par choisir une machine classique « cliente » windows 10 (celle que j’utilise au quotidien)
Sur la machine a surveiller, ouvrez powershell en mode admin et tapez les commandes affichées par l’assistant de configuration. Par exemple :
NB : Le –insecure à la fin est volontaire, car à cette étape je n’ai pas activé le https sur mon réseau local, ce qui a posé problème lors d’une première tentative d’installation en suivant la doc officielle. Je le ferai plus tard, ça sera l’occasion de voir comment modifier la configuration de l’agent !
A la fin de la procédure, l’agent devrait être repéré par le serveur :
NB : si le poste que vous souhaitez auditer n’arrive pas à communiquer avec le serveur Elastic, assurez-vous que le firewall accepte bien son IP dans la configuration de Security Onion ; rdv dans « Configuration » -> « Firewall » -> « Hostgroups » puis dans « Elastic Agent Endpoint » ajoutez les IP (attention, il faut indiquer l’IP seule sans sa notation CIDR, c’est juste un réglage de firewall !) des postes à surveiller.
Il suffit d’attendre quelques minutes pour commencer à voir remonter des infos de la machine monitorée :
Voilà, c’est tout pour l’instant : le setup fonctionne, maintenant ne reste plus qu’à passer à partie « invisible » de l’iceberg : l’exploitation des données. Je vais creuser ça et je reviens rapidement ici pour donner quelques astuces & tutos supplémentaires !