Flux rss
Ils ont besoin de votre aide
Journaux d'activités (logs)

Contrôle de l'intégrité des serveurs

 
Bookmark Ajouter aux favoris / Partager
Controllo di integrita dei server Controlo da integridade dos servidores Kontrolle der Integrität von Servern Verificación de la integridad de los servidores Server integrity check

Contrôle d'intégrité

Lorsqu'un serveur a été compromis, le pirate masque généralement son passage en supprimant les traces dans les journaux d'activités. Par ailleurs, il installe un certain nombre d'outils lui permettant de créer une porte dérobée, afin d'être à même de pouvoir revenir ultérieurement.

Nec plus ultra, le pirate pense généralement à corriger la vulnérabilité lui ayant permis de s'introduire afin d'éviter que d'autres pirates s'infiltrent.

Sa présence sur un serveur peut néanmoins être trahie par un certains nombre de commandes d'administration permettant d'afficher la liste des processus en cours ou bien tout simplement les utilisateurs connectés à la machine. Il existe ainsi des logiciels, appelés rootkits, chargés d'écraser la plupart des outils du système et de les remplacer par des commandes équivalentes masquant la présence du pirate.

Il est donc aisé de comprendre qu'en l'absence de détérioration il peut être très difficile pour un administrateur de s'apercevoir qu'une machine a été compromise. Une des premières actions lors de la découverte d'une compromission consiste à dater la compromission afin d'évaluer l'étendue potentielle sur les autres serveurs.

En effet, d'une manière générale les serveurs stockent dans des fichiers une trace de leur activité et en particulier des erreurs rencontrées.

Or, lors d'une attaque informatique il est rare que le pirate parvienne à compromettre un système du premier coup. Il agit la plupart du temps par tâtonnement, en essayant différentes requêtes.

Ainsi la surveillance des journaux permet de détecter une activité suspecte. Il est en particulier important de surveiller les journaux d'activité des dispositifs de protection car tout aussi bien configuré qu'il soient, il se peut qu'ils soient un jour la cible d'une attaque.

Analyse de la présence de rootkits

Il existe certains logiciels (chkrootkit par exemple) permettant de vérifier la présence de rootkirs sur le système. Néanmoins, afin de pouvoir utiliser ce type d'outils, il est essentiel d'être certain de l'intégrité de l'outil et de l'affichage qu'il délivre. Or, un système compromis ne peut pas être considéré comme fiable.

Analyse d'intégrité

Afin de s'assurer de l'intégrité d'un système, il est donc nécessaire de détecter les compromissions en amont. C'est ainsi l'objectif poursuivi par les contôleurs d'intégrité tel que Tripwire.

Le logiciel Tripwire, développé à l'origine par Eugène Spafford et gene Kim en 1992, permet d'assurer l'intégrité des systèmes en surveillant de façon permanente les modifications apportées à certains fichiers ou répertoires. Tripwire effectie en effet un contrôle d'intégrité et maintient à jour une base de signature. A intervalles réguliers il inspecte notamment les caractéristiques suivantes des fichiers afin d'identifier les modifications et les éventuelles compromissions :

  • permissions ;
  • date de dernière modification ;
  • date d'accès ;
  • taille du fichier ;
  • signature du fichier.

Les alertes sont envoyées par courrier électronique, de préférence sur un serveur distant, afin d'éviter tout effacement de la part du pirate.

Limites du contrôle d'intégrité

Afin de pouvoir s'appuyer sur les résultats d'un contrôleur d'intégrité il est essentiel d'être sûr de l'intégrité de la machine lors de l'installation. Il est également très difficile de configurer ce type de logiciel tant le nombre potentiel de fichiers à surveiller peut être important. De plus, lors de l'installation de nouvelles applications il est indispensable de mettre leurs fichiers de configuration sous contrôle.

Par ailleurs, ce type de solution est susceptible d'envoyer un grand nombre de fausses alertes, notamment lorsque le système modifie seul des fichiers de configuration ou lors de mises à jour du système.

Enfin, si la machine est effectivement compromise, il est possible que le pirate tentera de compromettre le contrôleur d'intégrité avant la prochaine mise à jour, d'où l'importance de stocker les alertes sur une machine distante ou bien un support externe non réinscriptible.

Ressources

Article rédigé le 22 mai 2006 par Jean-François PILLOU.

Dernière modification le mardi 14 octobre 2008 à 17:40:37.Ce document intitulé « Contrôle de l'intégrité des serveurs » issu de Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.

Source Dedicated Server mit sur un pc server Salut tlm. J'aimerais créer mon serveur css sur mon serveur interne... Ma question est on ne plus simple : est-il possible que je puisse prendre accet à mon serveur css à distence ? J'imagine qu'il faille que je crée un nouveau compte pour installer... www.commentcamarche.net/forum/affich-3356354-source-dedicated-server-mit-sur-un-pc-server
Multi serveur et upload Bonjour, voila imaginons que on a 3 serveur separé ns1.domain1.com ns2.domain2.org ns3.domain3.com serveur N°1 avec le nom domaine www.domain1.com est un site ou on affiche des produits. serveur N°2 paneau de control utilisateur. serveur N°3 pour le... www.commentcamarche.net/forum/affich-8584203-multi-serveur-et-upload
Controleur de domaine et dhcp (Résolu) Salut à tous une petite question: j'ai un serveur sous win 2003 qui faisait dhcp je l'ai passé en controleur de domaine et depuis les pc qui sont passé sur le domaine ne voit plus le dhcp donc ne prennent plus d'adresses. je commence à me demander ce... www.commentcamarche.net/forum/affich-1640931-controleur-de-domaine-et-dhcp
Serveurs privés Lineage II et légalité--> http://www.lineage2.com/legal/rules.html You will not attempt to play Lineage II on any server that is not controlled or authorized by NC Interactive or its designees. You will not create, use, or provide any server emulator or other... www.commentcamarche.net/faq/sujet-17144-serveurs-prives-lineage-ii-et-legalite
Adresses des serveurs POP et SMTP des principaux FAICette page donne les adresses des serveurs de messagerie (SMTP / POP3 / IMAP) des principaux fournisseurs d'accès à internet (FAI) : 9 Telecom 9ONLINE ALICE AOL ALTERN.ORG CARAMAIL CEGETEL CLUB INTERNET DARTY BOX (DARTYBOX) ESTVIDEO... www.commentcamarche.net/faq/sujet-893-adresses-des-serveurs-pop-et-smtp-des-principaux-fai
Serveurs DNS des principaux FAILa liste ci-dessous donne les adresses IP des serveurs de noms (DNS) des principaux fournisseurs d'accès à Internet (FAI) : 9 Telecom / 9Online Alice ADSL AOL Belgacom / SkyNet Bluewin.ch Cégétel Chello Club-internet Colt France Darty... www.commentcamarche.net/faq/sujet-1496-serveurs-dns-des-principaux-fai
Résultats pour Contrôle de l'intégrité des serveurs
[PhP ou JS] Controle de validité d'un form (Résolu)Bonjour, J'ai un formulaire. Je sais que de forme de contrôle sont possibles. Javascript coté client ou PhP coté serveur ... Quels sont les avantages et incovénients de chacun ?? Vous, quels type de controle feriez vous ?? Je doit me lancer, j'aime... www.commentcamarche.net/forum/affich-2094855-php-ou-js-controle-de-validite-d-un-form
Probleme boot Serveur HP avec controlleur SASBonjour, J'ai un petit soucis avec un serveur HP Proliant DL380 G5 equipe d'une carte controlleur SmartArray P400. Je vous explique, j'avais un Windows Server 2003 avec plusieurs applications d'installer sur un Proliant DL380 G4! Comme celui-ci avait... www.commentcamarche.net/forum/affich-3032871-probleme-boot-serveur-hp-avec-controlleur-sas
Logiciel pour controler son pc a distance ? (Résolu)Bonjour a tous ....... Je voudrais tel un logiciel pour controler mon pc a distance mais je ne c pas du tout le quel prendre (facile , bonne qualité ,...) et j'hesite surtout entre "remotely anywhere", ou "vnc" ,....... j'aimerais savoir quel... www.commentcamarche.net/forum/affich-2060995-logiciel-pour-controler-son-pc-a-distance
Résultats pour Contrôle de l'intégrité des serveurs
Télécharger WAMP ServerWAMP5 (WAMP signifiant Windows Apache Mysql PHP) est une plate forme de développement Web sous Windows. Il vous permet de développer des sites Web dynamiques à l'aide du serveur Apache, du langage de scripts PHP5 et d'une base de données MySQL version... www.commentcamarche.net/telecharger/telecharger-34055064-wamp-server
Télécharger TYPSoft FTP Serveur TYPSoft FTP Serveur est un ftp serveur rapide et facile avec le support des commandes Standard de FTP, Interface propre et claire, architecture de système de fichiers virtuelle, capacité de reprendre le téléchargement interrompu tant en download qu’en... www.commentcamarche.net/telecharger/telecharger-34055220-typsoft-ftp-serveur
Télécharger JBoss Server ApplicationJBoss est un serveur d'application J2EE (Java 2 Enterprise Edition) implémenté en Java et open source. www.commentcamarche.net/telecharger/telecharger-88-jboss-server-application
Résultats pour Contrôle de l'intégrité des serveurs
Logitech Cordless Action Controller Black PS3PS 3, Gamepad, PS3, Compatibilité:PS3, Divers:Experience the freedom to play anywhere you want and eliminate cable clutter in your living room. The second generation Logitech Cordless Action Controller delivers the performance, convenience, and comfort... www.commentcamarche.net/guide/906008-logitech-cordless-action-controller-black-ps3
NetGear FWG114P ProSafe 802.11g Wireless Firewall with USB Print ServerFWG 114 114 P 114P 114P, Largeur:18.79 cm, Profondeur:12.44 cm, Hauteur:3.3 cm, Poids:0.14 kg, Slots PC Card:Aucun, Mémoire:Flash Memory 2MB, RAM 8MB, Serveur imprimante inclus, Divers:1 x USB 1 x network - Radio-Ethernet, Wireless PC Card 32-bit CardBu www.commentcamarche.net/guide/492755-netgear-fwg114p-prosafe-802-11g-wireless-firewall-with-usb-print-server
Résultats pour Contrôle de l'intégrité des serveurs
SQL - Contraintes d'intégritéExpression de contraintes d'intégrité Une contrainte d'intégrité est une clause permettant de contraindre la modification de tables, faite par l'intermédiaire de requêtes d'utilisateurs, afin que les données saisies dans la base soient... www.commentcamarche.net/contents/sql/sqlcontr.php3
Serveurs proxy (serveurs mandataires) et reverse proxyProxy Un serveur proxy (traduction française de «proxy server», appelé aussi «serveur mandataire») est à l'origine une machine faisant fonction d'intermédiaire entre les ordinateurs d'un réseau local (utilisant parfois des protocoles autres que le... www.commentcamarche.net/contents/lan/proxy.php3
Installation d'un serveur Web sous Linux (Apache, PHP et MySQL)Introduction Un serveur web est un logiciel permettant de rendre accessibles à de nombreux ordinateurs (les clients) des pages web stockées sur le disque. Cette fiche pratique explique comment installer le serveur web Apache sur un système de type... www.commentcamarche.net/contents/php/phpinst.php3
Résultats pour Contrôle de l'intégrité des serveurs