Wiki Kenny

Outils pour utilisateurs

Outils du site

Piste :
securite

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
securite [2025/05/28 13:02] – [HARDENING LINUX] huracansecurite [2025/12/15 11:22] (Version actuelle) – [COMMANDES] huracan
Ligne 81: Ligne 81:
  
 ===== HARDENING LINUX ===== ===== HARDENING LINUX =====
 +
 +==== HARDENING HACKMD ====
  
 [[https://hackmd.io/0FiGQJ-HSMGVK7XOE8ZXfA|HARDENING LINUX]] [[https://hackmd.io/0FiGQJ-HSMGVK7XOE8ZXfA|HARDENING LINUX]]
Ligne 181: Ligne 183:
  
  
-==== TECMINT ====+==== HARDENING TECMINT ==== 
 + 
 +[[https://www.tecmint.com/hardening-ubuntu-server/|site tecmint]]
  
   - 1 Securing Network Access with UFW (Uncomplicated Firewall)   - 1 Securing Network Access with UFW (Uncomplicated Firewall)
Ligne 291: Ligne 295:
 To change the mode of a profile: To change the mode of a profile:
  
-sudo aa-enforce /path/to/profile  # Enforce mode +  sudo aa-enforce /path/to/profile  # Enforce mode 
-sudo aa-complain /path/to/profile  # Complain mode+  sudo aa-complain /path/to/profile  # Complain mode
  
 Auditing with AppArmor Auditing with AppArmor
Ligne 298: Ligne 302:
 AppArmor generates logs that provide insight into its enforcement actions; these logs can be found in `/var/log/syslog`, and tools like `journalctl` can be used to view them. AppArmor generates logs that provide insight into its enforcement actions; these logs can be found in `/var/log/syslog`, and tools like `journalctl` can be used to view them.
  
-sudo journalctl -xe | grep apparmor+  sudo journalctl -xe | grep apparmor
  
-4Additional Security Best Practices+  - 4 Additional Security Best Practices
  
 Beyond using UFW, Fail2ban, and AppArmor, there are other important steps you can take to further harden your server: Beyond using UFW, Fail2ban, and AppArmor, there are other important steps you can take to further harden your server:
Ligne 307: Ligne 311:
 Ensure that your system and all installed packages are up to date to protect against vulnerabilities: Ensure that your system and all installed packages are up to date to protect against vulnerabilities:
  
-sudo apt update && sudo apt upgrade -y +  sudo apt update && sudo apt upgrade -y 
-sudo apt dist-upgrade -y+  sudo apt dist-upgrade -y
  
 Enable automatic security updates to keep your server protected: Enable automatic security updates to keep your server protected:
  
-sudo apt install unattended-upgrades+  sudo apt install unattended-upgrades
  
 Disable Unused Services Disable Unused Services
Ligne 318: Ligne 322:
 Any service or application that you do not need should be disabled to reduce the attack surface. However, before disabling services, it’s important to identify which ones are running on your server using the systemctl command: Any service or application that you do not need should be disabled to reduce the attack surface. However, before disabling services, it’s important to identify which ones are running on your server using the systemctl command:
  
-sudo systemctl list-units --type=service+  sudo systemctl list-units --type=service
  
 Once you’ve identified the unnecessary services, you can disable them to prevent the service from starting automatically on boot, thereby reducing the attack surface. Once you’ve identified the unnecessary services, you can disable them to prevent the service from starting automatically on boot, thereby reducing the attack surface.
  
-sudo systemctl disable service-name+  sudo systemctl disable service-name
  
 Use SSH Key Authentication Use SSH Key Authentication
Ligne 328: Ligne 332:
 For improved SSH security, use SSH key pairs for authentication and disable password-based login. For improved SSH security, use SSH key pairs for authentication and disable password-based login.
  
-ssh-keygen -t rsa -b 4096 +  ssh-keygen -t rsa -b 4096 
-ssh-copy-id user@your-server-ip+  ssh-copy-id user@your-server-ip
  
 Next, edit the SSH configuration file to disable password-based logins: Next, edit the SSH configuration file to disable password-based logins:
  
-sudo nano /etc/ssh/sshd_config+  sudo nano /etc/ssh/sshd_config
  
 Set PasswordAuthentication no, then restart SSH: Set PasswordAuthentication no, then restart SSH:
  
-sudo systemctl restart ssh+  sudo systemctl restart ssh
  
 Now, only SSH key authentication will be allowed, increasing the security of your server. Now, only SSH key authentication will be allowed, increasing the security of your server.
Ligne 525: Ligne 529:
  
 Plusieurs options permettent de contrôler la quantité de détails affichés : Plusieurs options permettent de contrôler la quantité de détails affichés :
- 
  
   * v : augmente la verbosité et affiche plus d’informations sur les paquets, comme le Time-to-Live (TTL) et le type de service.   * v : augmente la verbosité et affiche plus d’informations sur les paquets, comme le Time-to-Live (TTL) et le type de service.
   * vv : niveau de verbosité encore plus élevé, montrant par exemple les noms de domaine pour les adresses IP.   * vv : niveau de verbosité encore plus élevé, montrant par exemple les noms de domaine pour les adresses IP.
   * vvv : verbosité maximale pour une capture encore plus détaillée.   * vvv : verbosité maximale pour une capture encore plus détaillée.
 +
 +|  Flag  |  Description  |
 +|  -i <interface>  |  Ecouter une interface réseau spécifique, .e.g. “-i igb0”  |
 +|  -n  |  N’effectuez pas de résolution DNS inversée sur les adresses IP  |
 +|  -w <filename>  |  Enregistrez la capture au format pcap dans <nom de fichier>, par exemple « -W /tmp/wan.pcap »  |
 +|  -s  |  Durée de capture: quantité de données à capturer à partir de chaque image  |
 +|  -c <packets>  |  Quitter après avoir reçu un nombre spécifique de paquets  |
 +|  -p  |  Ne mettez pas l’interface en mode promiscuité  |
 +|  -v  |  Mode Verbose (bavard)  |
 +|  -e  |  Imprimer l’en-tête de la couche de liaison sur chaque ligne  |
 +
 +|  Valeur  |  Type de Flag  |  Description  |
 +|  S  |  SYN  |  Initialisation de la connexion  |
 +|  F  |  FIN  |  Connexion terminée  |
 +|  P  |  PUSH  |  Data push  | 
 +|  R  |  RST  |  Réinitialisation de la connexion  |
 +|  .  |  ACK  |  Acquittement de la connexion  |
 +|  E  |  ECE  |  ECN Echo (gestion congestion)  |
 +|  W  |  CWR  |  Congestion Window Reduced  |
  
 exemple: exemple:
Ligne 540: Ligne 562:
  
 -A => pour entête (Attention mdp en clair pour non LDAPS) -A => pour entête (Attention mdp en clair pour non LDAPS)
 +
 +=== Autre exemple ===
 +
 +  #tcpdump -i ens33 -nn -s0 -v port 443
 +  
 +  • -i : Sélectionnez l’interface sur laquelle la capture doit avoir lieu,
 +         ce sera souvent une carte Ethernet ou un adaptateur sans fil,
 +         mais pourrait également être un vlan ou quelque chose de plus inhabituel.
 +         Pas toujours nécessaire s’il n’y a qu’une seule carte réseau.
 +  • -nn : un seul (n) ne résoudra pas les noms d’hôte.
 +          Un double (nn) ne résoudra pas les noms d’hôte ou les ports.
 +          Ceci est pratique non seulement pour visualiser les numéros IP / port,
 +          mais également lors de la capture d’une grande quantité de données, car la résolution du nom ralentira la capture.
 +  • -s0 : longueur de capture, est la taille du paquet à capturer.
 +          -s0 définira la taille sur illimité – utilisez ceci si vous voulez capturer tout le trafic.
 +          Nécessaire si vous souhaitez extraire des binaires / fichiers du trafic réseau.
 +  • -v: Verbose, l’utilisation de (-v) ou (-vv) augmente la quantité de détails affichés dans la sortie,
 +        affichant souvent des informations plus spécifiques au protocole.
 +  • port 443 : il s’agit d’un filtre de port commun pour capturer uniquement le trafic sur le port 80,
 +               c’est bien sûr généralement HTTPS.
 +
  
 === Limiter le nombre de paquets capturés === === Limiter le nombre de paquets capturés ===
Ligne 552: Ligne 595:
  
   #tcpdump src 192.168.1.1   #tcpdump src 192.168.1.1
 +
 +=== Subnet source : capturer les paquets provenant d’un subnet spécifique : ===
 +
 +  #tcpdump src net 192.168.1.0/24
  
 === Adresse IP de destination : capturer les paquets allant vers une adresse spécifique : === === Adresse IP de destination : capturer les paquets allant vers une adresse spécifique : ===
Ligne 719: Ligne 766:
  
 [[https://www.malekal.com/exemples-de-commandes-nmap/]] [[https://www.malekal.com/exemples-de-commandes-nmap/]]
 +
 +0- Liste scan subnet:
 +
 +  #nmap -sn 192.168.1.1 -oG - | awk '/Up$/{print $2}'
  
 1- Scanner un seul host : 1- Scanner un seul host :
securite.1748430173.txt.gz · Dernière modification : 2025/05/28 13:02 de huracan

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki
DokuWiki Appliance - Powered by TurnKey Linux