[Linux] Question

Messages postés
53
Date d'inscription
samedi 20 juillet 2019
Statut
Membre
Dernière intervention
17 septembre 2019
-
Bonjour,
Est-ce que configurer linux en lecture seule via "mount -o remount,ro /" est sûr à 100% d'empêcher tous les types de modification dans le dossier ?
Les hackers peuvent-t'ils quand même apporter certaines modification ?
Cordialement.

J'aimerais vraiment que vous me répondiez...
Afficher la suite 

1 réponse

Meilleure réponse
Messages postés
28983
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
20 septembre 2019
6640
2
Merci
Bonjour,

Est-ce que configurer linux en lecture seule via "mount -o remount,ro /" est sûr à 100% d'empêcher tous les types de modification dans le dossier ?

Si le système de fichier est monté en lecture seule, effectivement, personne ne peut le modifier tant qu'il est monté ainsi. Ceci inclue root. Tu peux d'ailleurs essayer en cherchant un point de montage monté en
ro
(
mount | grep "ro," | awk '{print $3}'
) et vérifier tu arrives à écrire dedans en root.

Par exemple chez moi
/sys/fs/cgroup
est monté en
ro
et voici ce que j'obtiens :

(root@silk) (~) # touch /sys/fs/cgroup/toto
touch: impossible de faire un touch '/sys/fs/cgroup/toto': Système de fichiers accessible en lecture seulement


Les hackers peuvent-t'ils quand même apporter certaines modification ?

Tout dépend de ce le hacker est déjà parvenu à faire. Sans entrer dans les détails de comment faire (car ce n'est pas le but du forum) :
  • Son premier but sera d'augmenter progressivement ses droits de sorte à avoir un shell root en exploitant les éventuelles failles présentes.
  • S'il est parvenu a avoir un shell root il peut potentiellement remonter
    /
    en
    rw
    (à vérifier).
  • S'il a accès physiquement à la machine, il peut intervenir avant le démarrage du système. En outre, grub permet de démarrer le système avec des options qui peuvent permettre de contourner certaines mesures de protection. Depuis le BIOS, on peut permettre de démarrer sur un média autre que le disque dur, ce qui permet à un pirate de commencer à travailler sur la machine,


Quelques conseils pour se prémunir d'une attaque sont :
  • Maintenir son système à jour (pour limiter le nombre de failles de sécurité).
  • Interdir les authentifications par mot de passe quand c'est possible (par exemple, pour ssh, en forçant l'utilisation de clés ssh). Le cas échéant prévoir des mots de passe forts qui sont brute-forçables.
  • Les protections réseaux usuelles (
    fail2ban
    ,
    iptables
    ,
    snort
    ...).
  • Ne pas changer les droits associés aux fichiers du système (comprendre
    chmod
    et
    chown
    pour autre chose que des utilisateurs, c'est une erreur). De manière générale, être rigoureux sur les droits.
  • Chiffrer le disque dur (voir luks et lvm) pour éviter les modifications via un live CD/USB.
  • Mettre un mot de passe dans le BIOS pour limiter les modifications via un live CD/USB (NB: c'est une protection contournable si on a accès physiquement à la machine).
  • Pour les serveurs, les tenir dans une salle fermée à clé pour limiter les accès physiques.
  • Ne pas ouvrir de fichiers qui ne sont pas de confiance, ne pas insérer de disque qui ne sont pas de confiance.


Bonne chance

Dire « Merci » 2

Heureux de vous avoir aidé ! Vous nous appréciez ? Donnez votre avis sur nous ! Evaluez CommentCaMarche

CCM 60210 internautes nous ont dit merci ce mois-ci

ZombieBot0001
Messages postés
53
Date d'inscription
samedi 20 juillet 2019
Statut
Membre
Dernière intervention
17 septembre 2019
-
Est-ce qu'un hacker peut utiliser un script ou un programme pour écrire dans un dossier en lecture seule sans modifier les droits ?
zipe31
Messages postés
36976
Date d'inscription
dimanche 7 novembre 2010
Statut
Contributeur
Dernière intervention
20 septembre 2019
3991 > ZombieBot0001
Messages postés
53
Date d'inscription
samedi 20 juillet 2019
Statut
Membre
Dernière intervention
17 septembre 2019
-
Salut,

Déjà, un petit merci eut été le bienvenu, par rapport à la réponse détaillée de mamiemando ;-\

Quant à ta nouvelle question, il te suffit de relire le 1er message pour avoir la réponse.
ZombieBot0001
Messages postés
53
Date d'inscription
samedi 20 juillet 2019
Statut
Membre
Dernière intervention
17 septembre 2019
-
Je ne sais pas si un hacker peut utiliser un programme ou un script qui peut faire des modifications même en lecture seule...
mamiemando
Messages postés
28983
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
20 septembre 2019
6640 -
Pour répondre à tes questions :
  • Tant que le système de fichier est monté en
    ro
    , rien (root) compris ne peut altérer son contenu. Mais sous réserve d'avoir des droits suffisants le système de fichiers peut être remonté en
    rw
    .
  • Si le système est monté en
    rw
    , seul root peut outrepasser les droits linux associés à ce fichiers sans les changer. Seuls le propriétaire et root peuvent changer les droits associés à un fichier.


Enfin, comme je l'expliquais, un système de fichier ro n'est pas une fin en soi. Certains répertoires ne peuvent pas être purement en ro (e.g.
/home
,
/tmp
,
/var
). De plus un système est fait pour être utilisé (sinon c'est un peu comme dire j'ai une voiture et je la laisse au garage). C'est pourquoi dans mon long message, je t'expliquais comment protéger proprement un système.

Bonne chance
Commenter la réponse de mamiemando