Lea Linux - Contributions [fr]

Domotique et Norme X10

2007-06-06T15:11:53Z

Jmelyn : /* Pour finir */

[[Catégorie:Configurer_votre_matériel]]
= Introduction =

Le X10 est un protocole de communication par courant porteur qui permet de faire dialogeur ensemble des équipements compatibles. Je ne réinventerai pas la roue, de très bonnes documentations existent sur le sujet, notamment celle-ci [http://www.si.ens-cachan.fr/ressource/r5/r5.htm Domotique et Norme X10].

Pour résumer très rapidement, il permet, avec la mise en place d'émetteurs et de récepteurs, d'automatiser des tâches de la vie quotidienne au sein de son logement (ex.: ouvrir les volets, fermer la veilleuse du petit dernier...)

= Présentation =

== But recherché ==
Le but de cet article est d'expliquer comment pouvoir commander à partir de Linux les récepteurs et de programmer l'émetteur PC vers X10 (CM11) grâce à des macros.
Il existe sous Linux quelques projects qui permettent de mettre en place une 'maison domotique', le plus complet est [http://misterhouse.net/ MisterHouse]. C'est une application complexe à mettre en oeuvre et que l'on peut plus apparenter à un logiciel pour HTPC.
J'ai choisi pour ma part d'utiliser [http://heyu.tanj.com Heyu]. C'est un logiciel simple à mettre en place et à configurer et dont je vous propose de vous en expliquer l'utilisation.

== Prérequis ==
Le matériel minimum à acquérir pour tester son utilisation est :
* un pc équipé d'un port série
* un émetteur CM11
* un récepteur type AM12

A noter, il existe 2 versions de CM11, l'une USB et l'autre série, j'ai choisi d'acheter cette dernière pour être sûr de son fonctionnement avec notre OS préféré.

= Heyu =
== Installation ==
Vérifier que vous disposez de la dernière version sur le site de l'auteur :
<code>$ wget http://heyu.tanj.com/download/heyu-2.0beta.6.2.tgz
$ tar zxvf heyu-2.0beta.6.2.tgz
$ cd heyu-2.0beta.6.2
$ ./Configure
$ make
$ su (pour devenir root)
Password :
# make install
mkdir -p -m 755 /usr/local/bin
cp heyu /usr/local/bin
chgrp root /usr/local/bin/heyu
chmod 755 /usr/local/bin/heyu
chown root /usr/local/bin/heyu
./install.sh

I did not find a Heyu configuration file.
Where would you like the sample Heyu configuration file installed?
1. In directory /home/dimitri/.heyu/
2. In subdirectory .heyu/ under a different user home directory
3. In directory /etc/heyu (for system-wide access)
4. No thanks, I'll take care of it myself
Choice [1, 2, 3, or 4] ? 3
Creating directory /etc/heyu with permissions rwxrwxrwx.
Adjust ownership and permissions as required.
The sample configuration file will be installed as /etc/heyu/x10.conf

I will add the TTY port for your CM11 to the config file
Specify /dev/ttyS0, /dev/ttyS1, etc.
To which port is the CM11 attached?
/dev/ttyS0
</code>

== Configuration ==
Comme nous avons pu le voir précédemment, les fichiers de configuration vont se trouver dans le répertoire choisi à l'étape d'installation, ici /etc/heyu.
Le fichier de configuration principal est heyu.conf
<code>TTY /dev/ttyS0
HOUSECODE A
LOG_DIR NONE
SCRIPT_MODE SCRIPTS
SCHEDULE_FILE x10.sched
MODE COMPATIBLE
PROGRAM_DAYS 366
COMBINE_EVENTS YES
COMPRESS_MACROS NO
#LONGITUDE W079:49 # [degrees:minutes East or West of Greenwich]
#LATITUDE N36:04 # [degrees:minutes North or South of equator]
DAWN_OPTION FIRST
DUSK_OPTION FIRST
MIN_DAWN OFF
MAX_DAWN OFF
MIN_DUSK OFF
MAX_DUSK OFF
REPL_DELAYED_MACROS YES
WRITE_CHECK_FILES YES
</code>

Le port ttyS0 doit pouvoir être utilisé par tous les utilisateurs afin de communiquer avec le CM11 :
<code># /bin/chmod a+rw /dev/ttyS0
</code>

== Petit test ==
Tout d'abord, chaque module est identifié par un code Maison (de A à P) et un code Unité (de 1 à 16). Cette identification va permettre de commander le récepteur de la façon suivante :<br>
La commande
<code>$ /usr/local/bin/heyu on A1
</code>
permet d'allumer le récepteur A1.
Et si tout va bien, l'équipement électrique connecté sur le module doit s'allumer.
Vous me direz : "Ouais, il est gentil mais cela n'a pas beaucoup d'intérêt". Mais ce n'est que le début.

== Cas concret ==
A présent que nous avons validé le bon fonctionnement entre Heyu et le CM11, passons à un cas concret.
Disons que nous voulons que des volets électriques s'ouvrent à l'aube et se ferment au coucher du soleil.
Pour cela il faut acquérir des modules SW10 que l'on branche en lieu et place des interrupteurs classiques montée/descente. Pour simplifier les choses, nous leur affecterons le même code Maison/Unité A2.

Un nouveau fichier permet de créer ce scénario /etc/heyu/x10.sched :
<code>timer smtwtfs 01/01-12/31 dusk 23:00 allumer null
timer smtwtfs 01/01-12/31 dawn 00:00 eteindre null
macro allumer 0 on a2
macro eteindre 0 off a2
</code>
smtwtfs correspond au jour de la semaine (Sunday, Monday...)

01/01 - 12/31 à la période d'exécution souhaitée

dusk au lever du soleil et dawn au coucher du soleil

Ces 2 dernières variables sont calculées en fonction des coordonnées géographiques (longitude/latitude) que l'on indique dans le fichier /etc/heyu/x10.conf.

Pour vérifier les heures calculées, utiliser la commande suivante :
<code>$/usr/local/bin/heyu utility suntable
</code>

Une fois le fichier complété, il faut l'envoyer à l'émetteur CM11, pour cela :
<code>$/usr/local/bin/heyu upload
</code>

Les directives du fichier x10.sched sont envoyées au CM11 qui exécutera l'ensemble des macros de façon autonome.

= Pour finir =
Les X10 et Heyu offrent de nombreuses possibilités dont je ne vous ai fait découvrir qu'une mince partie.
N'hésitez pas à user et abuser des man heyu et autres fichiers sample disponibles avec ce logiciel.

{{Copy|01/09/2006|D. Clatot|CC-BY-SA}}

Domotique et Norme X10

2007-06-06T15:11:22Z

Jmelyn : /* Cas concret */

[[Catégorie:Configurer_votre_matériel]]
= Introduction =

Le X10 est un protocole de communication par courant porteur qui permet de faire dialogeur ensemble des équipements compatibles. Je ne réinventerai pas la roue, de très bonnes documentations existent sur le sujet, notamment celle-ci [http://www.si.ens-cachan.fr/ressource/r5/r5.htm Domotique et Norme X10].

Pour résumer très rapidement, il permet, avec la mise en place d'émetteurs et de récepteurs, d'automatiser des tâches de la vie quotidienne au sein de son logement (ex.: ouvrir les volets, fermer la veilleuse du petit dernier...)

= Présentation =

== But recherché ==
Le but de cet article est d'expliquer comment pouvoir commander à partir de Linux les récepteurs et de programmer l'émetteur PC vers X10 (CM11) grâce à des macros.
Il existe sous Linux quelques projects qui permettent de mettre en place une 'maison domotique', le plus complet est [http://misterhouse.net/ MisterHouse]. C'est une application complexe à mettre en oeuvre et que l'on peut plus apparenter à un logiciel pour HTPC.
J'ai choisi pour ma part d'utiliser [http://heyu.tanj.com Heyu]. C'est un logiciel simple à mettre en place et à configurer et dont je vous propose de vous en expliquer l'utilisation.

== Prérequis ==
Le matériel minimum à acquérir pour tester son utilisation est :
* un pc équipé d'un port série
* un émetteur CM11
* un récepteur type AM12

A noter, il existe 2 versions de CM11, l'une USB et l'autre série, j'ai choisi d'acheter cette dernière pour être sûr de son fonctionnement avec notre OS préféré.

= Heyu =
== Installation ==
Vérifier que vous disposez de la dernière version sur le site de l'auteur :
<code>$ wget http://heyu.tanj.com/download/heyu-2.0beta.6.2.tgz
$ tar zxvf heyu-2.0beta.6.2.tgz
$ cd heyu-2.0beta.6.2
$ ./Configure
$ make
$ su (pour devenir root)
Password :
# make install
mkdir -p -m 755 /usr/local/bin
cp heyu /usr/local/bin
chgrp root /usr/local/bin/heyu
chmod 755 /usr/local/bin/heyu
chown root /usr/local/bin/heyu
./install.sh

I did not find a Heyu configuration file.
Where would you like the sample Heyu configuration file installed?
1. In directory /home/dimitri/.heyu/
2. In subdirectory .heyu/ under a different user home directory
3. In directory /etc/heyu (for system-wide access)
4. No thanks, I'll take care of it myself
Choice [1, 2, 3, or 4] ? 3
Creating directory /etc/heyu with permissions rwxrwxrwx.
Adjust ownership and permissions as required.
The sample configuration file will be installed as /etc/heyu/x10.conf

I will add the TTY port for your CM11 to the config file
Specify /dev/ttyS0, /dev/ttyS1, etc.
To which port is the CM11 attached?
/dev/ttyS0
</code>

== Configuration ==
Comme nous avons pu le voir précédemment, les fichiers de configuration vont se trouver dans le répertoire choisi à l'étape d'installation, ici /etc/heyu.
Le fichier de configuration principal est heyu.conf
<code>TTY /dev/ttyS0
HOUSECODE A
LOG_DIR NONE
SCRIPT_MODE SCRIPTS
SCHEDULE_FILE x10.sched
MODE COMPATIBLE
PROGRAM_DAYS 366
COMBINE_EVENTS YES
COMPRESS_MACROS NO
#LONGITUDE W079:49 # [degrees:minutes East or West of Greenwich]
#LATITUDE N36:04 # [degrees:minutes North or South of equator]
DAWN_OPTION FIRST
DUSK_OPTION FIRST
MIN_DAWN OFF
MAX_DAWN OFF
MIN_DUSK OFF
MAX_DUSK OFF
REPL_DELAYED_MACROS YES
WRITE_CHECK_FILES YES
</code>

Le port ttyS0 doit pouvoir être utilisé par tous les utilisateurs afin de communiquer avec le CM11 :
<code># /bin/chmod a+rw /dev/ttyS0
</code>

== Petit test ==
Tout d'abord, chaque module est identifié par un code Maison (de A à P) et un code Unité (de 1 à 16). Cette identification va permettre de commander le récepteur de la façon suivante :<br>
La commande
<code>$ /usr/local/bin/heyu on A1
</code>
permet d'allumer le récepteur A1.
Et si tout va bien, l'équipement électrique connecté sur le module doit s'allumer.
Vous me direz : "Ouais, il est gentil mais cela n'a pas beaucoup d'intérêt". Mais ce n'est que le début.

== Cas concret ==
A présent que nous avons validé le bon fonctionnement entre Heyu et le CM11, passons à un cas concret.
Disons que nous voulons que des volets électriques s'ouvrent à l'aube et se ferment au coucher du soleil.
Pour cela il faut acquérir des modules SW10 que l'on branche en lieu et place des interrupteurs classiques montée/descente. Pour simplifier les choses, nous leur affecterons le même code Maison/Unité A2.

Un nouveau fichier permet de créer ce scénario /etc/heyu/x10.sched :
<code>timer smtwtfs 01/01-12/31 dusk 23:00 allumer null
timer smtwtfs 01/01-12/31 dawn 00:00 eteindre null
macro allumer 0 on a2
macro eteindre 0 off a2
</code>
smtwtfs correspond au jour de la semaine (Sunday, Monday...)

01/01 - 12/31 à la période d'exécution souhaitée

dusk au lever du soleil et dawn au coucher du soleil

Ces 2 dernières variables sont calculées en fonction des coordonnées géographiques (longitude/latitude) que l'on indique dans le fichier /etc/heyu/x10.conf.

Pour vérifier les heures calculées, utiliser la commande suivante :
<code>$/usr/local/bin/heyu utility suntable
</code>

Une fois le fichier complété, il faut l'envoyer à l'émetteur CM11, pour cela :
<code>$/usr/local/bin/heyu upload
</code>

Les directives du fichier x10.sched sont envoyées au CM11 qui exécutera l'ensemble des macros de façon autonome.

= Pour finir =
Les X10 et heyu offrent de nombreuses possibilités dont je ne vous ai fait découvrir qu'une mince partie.
N'hésitez pas à user et abuser des man heyu et autres fichiers sample disponibles avec ce logiciel.

{{Copy|01/09/2006|D. Clatot|CC-BY-SA}}

Domotique et Norme X10

2007-06-06T15:09:21Z

Jmelyn : /* Pour finir */

[[Catégorie:Configurer_votre_matériel]]
= Introduction =

Le X10 est un protocole de communication par courant porteur qui permet de faire dialogeur ensemble des équipements compatibles. Je ne réinventerai pas la roue, de très bonnes documentations existent sur le sujet, notamment celle-ci [http://www.si.ens-cachan.fr/ressource/r5/r5.htm Domotique et Norme X10].

Pour résumer très rapidement, il permet, avec la mise en place d'émetteurs et de récepteurs, d'automatiser des tâches de la vie quotidienne au sein de son logement (ex.: ouvrir les volets, fermer la veilleuse du petit dernier...)

= Présentation =

== But recherché ==
Le but de cet article est d'expliquer comment pouvoir commander à partir de Linux les récepteurs et de programmer l'émetteur PC vers X10 (CM11) grâce à des macros.
Il existe sous Linux quelques projects qui permettent de mettre en place une 'maison domotique', le plus complet est [http://misterhouse.net/ MisterHouse]. C'est une application complexe à mettre en oeuvre et que l'on peut plus apparenter à un logiciel pour HTPC.
J'ai choisi pour ma part d'utiliser [http://heyu.tanj.com Heyu]. C'est un logiciel simple à mettre en place et à configurer et dont je vous propose de vous en expliquer l'utilisation.

== Prérequis ==
Le matériel minimum à acquérir pour tester son utilisation est :
* un pc équipé d'un port série
* un émetteur CM11
* un récepteur type AM12

A noter, il existe 2 versions de CM11, l'une USB et l'autre série, j'ai choisi d'acheter cette dernière pour être sûr de son fonctionnement avec notre OS préféré.

= Heyu =
== Installation ==
Vérifier que vous disposez de la dernière version sur le site de l'auteur :
<code>$ wget http://heyu.tanj.com/download/heyu-2.0beta.6.2.tgz
$ tar zxvf heyu-2.0beta.6.2.tgz
$ cd heyu-2.0beta.6.2
$ ./Configure
$ make
$ su (pour devenir root)
Password :
# make install
mkdir -p -m 755 /usr/local/bin
cp heyu /usr/local/bin
chgrp root /usr/local/bin/heyu
chmod 755 /usr/local/bin/heyu
chown root /usr/local/bin/heyu
./install.sh

I did not find a Heyu configuration file.
Where would you like the sample Heyu configuration file installed?
1. In directory /home/dimitri/.heyu/
2. In subdirectory .heyu/ under a different user home directory
3. In directory /etc/heyu (for system-wide access)
4. No thanks, I'll take care of it myself
Choice [1, 2, 3, or 4] ? 3
Creating directory /etc/heyu with permissions rwxrwxrwx.
Adjust ownership and permissions as required.
The sample configuration file will be installed as /etc/heyu/x10.conf

I will add the TTY port for your CM11 to the config file
Specify /dev/ttyS0, /dev/ttyS1, etc.
To which port is the CM11 attached?
/dev/ttyS0
</code>

== Configuration ==
Comme nous avons pu le voir précédemment, les fichiers de configuration vont se trouver dans le répertoire choisi à l'étape d'installation, ici /etc/heyu.
Le fichier de configuration principal est heyu.conf
<code>TTY /dev/ttyS0
HOUSECODE A
LOG_DIR NONE
SCRIPT_MODE SCRIPTS
SCHEDULE_FILE x10.sched
MODE COMPATIBLE
PROGRAM_DAYS 366
COMBINE_EVENTS YES
COMPRESS_MACROS NO
#LONGITUDE W079:49 # [degrees:minutes East or West of Greenwich]
#LATITUDE N36:04 # [degrees:minutes North or South of equator]
DAWN_OPTION FIRST
DUSK_OPTION FIRST
MIN_DAWN OFF
MAX_DAWN OFF
MIN_DUSK OFF
MAX_DUSK OFF
REPL_DELAYED_MACROS YES
WRITE_CHECK_FILES YES
</code>

Le port ttyS0 doit pouvoir être utilisé par tous les utilisateurs afin de communiquer avec le CM11 :
<code># /bin/chmod a+rw /dev/ttyS0
</code>

== Petit test ==
Tout d'abord, chaque module est identifié par un code Maison (de A à P) et un code Unité (de 1 à 16). Cette identification va permettre de commander le récepteur de la façon suivante :<br>
La commande
<code>$ /usr/local/bin/heyu on A1
</code>
permet d'allumer le récepteur A1.
Et si tout va bien, l'équipement électrique connecté sur le module doit s'allumer.
Vous me direz : "Ouais, il est gentil mais cela n'a pas beaucoup d'intérêt". Mais ce n'est que le début.

== Cas concret ==
A présent que nous avons validé le bon fonctionnement entre heyu et le CM11, passons à un cas concret.
Disons que nous voulons que des volets électriques s'ouvrent à l'aube et se ferment au coucher du soleil.
Pour cela il faut acquérir des modules SW10 que l'on branche en lieu et place des interrupteurs classiques montée/descente. Pour simplifier les choses, nous leur affecterons le même code Maison/Unité A2.

Un nouveau fichier permet de créer ce scénario /etc/heyu/x10.sched :
<code>timer smtwtfs 01/01-12/31 dusk 23:00 allumer null
timer smtwtfs 01/01-12/31 dawn 00:00 eteindre null
macro allumer 0 on a2
macro eteindre 0 off a2
</code>
smtwtfs correspond au jour de la semaine (Sunday, Monday...)

01/01 - 12/31 à la période d'exécution souhaitée

dusk au lever du soleil et dawn au coucher du soleil

Ces 2 dernières variables sont calculées en fonction des coordonnées géographiques (longitude/latitude) que l'on indique dans le fichier /etc/heyu/x10.conf.

Pour vérifier les heures calculées, utiliser la commande suivante :
<code>$/usr/local/bin/heyu utility suntable
</code>

Une fois le fichier complété, il faut l'envoyer à l'émetteur CM11, pour cela :
<code>$/usr/local/bin/heyu upload
</code>

Les directives du fichier x10.sched sont envoyées au CM11 qui exécutera l'ensemble des macros de façon autonome.

= Pour finir =
Les X10 et heyu offrent de nombreuses possibilités dont je ne vous ai fait découvrir qu'une mince partie.
N'hésitez pas à user et abuser des man heyu et autres fichiers sample disponibles avec ce logiciel.

{{Copy|01/09/2006|D. Clatot|CC-BY-SA}}

Domotique et Norme X10

2007-06-06T15:08:30Z

Jmelyn : /* Cas concret */

[[Catégorie:Configurer_votre_matériel]]
= Introduction =

Le X10 est un protocole de communication par courant porteur qui permet de faire dialogeur ensemble des équipements compatibles. Je ne réinventerai pas la roue, de très bonnes documentations existent sur le sujet, notamment celle-ci [http://www.si.ens-cachan.fr/ressource/r5/r5.htm Domotique et Norme X10].

Pour résumer très rapidement, il permet, avec la mise en place d'émetteurs et de récepteurs, d'automatiser des tâches de la vie quotidienne au sein de son logement (ex.: ouvrir les volets, fermer la veilleuse du petit dernier...)

= Présentation =

== But recherché ==
Le but de cet article est d'expliquer comment pouvoir commander à partir de Linux les récepteurs et de programmer l'émetteur PC vers X10 (CM11) grâce à des macros.
Il existe sous Linux quelques projects qui permettent de mettre en place une 'maison domotique', le plus complet est [http://misterhouse.net/ MisterHouse]. C'est une application complexe à mettre en oeuvre et que l'on peut plus apparenter à un logiciel pour HTPC.
J'ai choisi pour ma part d'utiliser [http://heyu.tanj.com Heyu]. C'est un logiciel simple à mettre en place et à configurer et dont je vous propose de vous en expliquer l'utilisation.

== Prérequis ==
Le matériel minimum à acquérir pour tester son utilisation est :
* un pc équipé d'un port série
* un émetteur CM11
* un récepteur type AM12

A noter, il existe 2 versions de CM11, l'une USB et l'autre série, j'ai choisi d'acheter cette dernière pour être sûr de son fonctionnement avec notre OS préféré.

= Heyu =
== Installation ==
Vérifier que vous disposez de la dernière version sur le site de l'auteur :
<code>$ wget http://heyu.tanj.com/download/heyu-2.0beta.6.2.tgz
$ tar zxvf heyu-2.0beta.6.2.tgz
$ cd heyu-2.0beta.6.2
$ ./Configure
$ make
$ su (pour devenir root)
Password :
# make install
mkdir -p -m 755 /usr/local/bin
cp heyu /usr/local/bin
chgrp root /usr/local/bin/heyu
chmod 755 /usr/local/bin/heyu
chown root /usr/local/bin/heyu
./install.sh

I did not find a Heyu configuration file.
Where would you like the sample Heyu configuration file installed?
1. In directory /home/dimitri/.heyu/
2. In subdirectory .heyu/ under a different user home directory
3. In directory /etc/heyu (for system-wide access)
4. No thanks, I'll take care of it myself
Choice [1, 2, 3, or 4] ? 3
Creating directory /etc/heyu with permissions rwxrwxrwx.
Adjust ownership and permissions as required.
The sample configuration file will be installed as /etc/heyu/x10.conf

I will add the TTY port for your CM11 to the config file
Specify /dev/ttyS0, /dev/ttyS1, etc.
To which port is the CM11 attached?
/dev/ttyS0
</code>

== Configuration ==
Comme nous avons pu le voir précédemment, les fichiers de configuration vont se trouver dans le répertoire choisi à l'étape d'installation, ici /etc/heyu.
Le fichier de configuration principal est heyu.conf
<code>TTY /dev/ttyS0
HOUSECODE A
LOG_DIR NONE
SCRIPT_MODE SCRIPTS
SCHEDULE_FILE x10.sched
MODE COMPATIBLE
PROGRAM_DAYS 366
COMBINE_EVENTS YES
COMPRESS_MACROS NO
#LONGITUDE W079:49 # [degrees:minutes East or West of Greenwich]
#LATITUDE N36:04 # [degrees:minutes North or South of equator]
DAWN_OPTION FIRST
DUSK_OPTION FIRST
MIN_DAWN OFF
MAX_DAWN OFF
MIN_DUSK OFF
MAX_DUSK OFF
REPL_DELAYED_MACROS YES
WRITE_CHECK_FILES YES
</code>

Le port ttyS0 doit pouvoir être utilisé par tous les utilisateurs afin de communiquer avec le CM11 :
<code># /bin/chmod a+rw /dev/ttyS0
</code>

== Petit test ==
Tout d'abord, chaque module est identifié par un code Maison (de A à P) et un code Unité (de 1 à 16). Cette identification va permettre de commander le récepteur de la façon suivante :<br>
La commande
<code>$ /usr/local/bin/heyu on A1
</code>
permet d'allumer le récepteur A1.
Et si tout va bien, l'équipement électrique connecté sur le module doit s'allumer.
Vous me direz : "Ouais, il est gentil mais cela n'a pas beaucoup d'intérêt". Mais ce n'est que le début.

== Cas concret ==
A présent que nous avons validé le bon fonctionnement entre heyu et le CM11, passons à un cas concret.
Disons que nous voulons que des volets électriques s'ouvrent à l'aube et se ferment au coucher du soleil.
Pour cela il faut acquérir des modules SW10 que l'on branche en lieu et place des interrupteurs classiques montée/descente. Pour simplifier les choses, nous leur affecterons le même code Maison/Unité A2.

Un nouveau fichier permet de créer ce scénario /etc/heyu/x10.sched :
<code>timer smtwtfs 01/01-12/31 dusk 23:00 allumer null
timer smtwtfs 01/01-12/31 dawn 00:00 eteindre null
macro allumer 0 on a2
macro eteindre 0 off a2
</code>
smtwtfs correspond au jour de la semaine (Sunday, Monday...)

01/01 - 12/31 à la période d'exécution souhaitée

dusk au lever du soleil et dawn au coucher du soleil

Ces 2 dernières variables sont calculées en fonction des coordonnées géographiques (longitude/latitude) que l'on indique dans le fichier /etc/heyu/x10.conf.

Pour vérifier les heures calculées, utiliser la commande suivante :
<code>$/usr/local/bin/heyu utility suntable
</code>

Une fois le fichier complété, il faut l'envoyer à l'émetteur CM11, pour cela :
<code>$/usr/local/bin/heyu upload
</code>

Les directives du fichier x10.sched sont envoyées au CM11 qui exécutera l'ensemble des macros de façon autonome.

= Pour finir =
Le x10 et heyu offre de nombreuses possibilités dont je ne vous ai fait découvrir qu'une mince partie.
N'hésitez pas à user et abuser des man heyu et autres fichiers sample disponibles avec ce logiciel.

{{Copy|01/09/2006|D. Clatot|CC-BY-SA}}

Domotique et Norme X10

2007-06-06T15:05:09Z

Jmelyn : /* Petit test */

[[Catégorie:Configurer_votre_matériel]]
= Introduction =

Le X10 est un protocole de communication par courant porteur qui permet de faire dialogeur ensemble des équipements compatibles. Je ne réinventerai pas la roue, de très bonnes documentations existent sur le sujet, notamment celle-ci [http://www.si.ens-cachan.fr/ressource/r5/r5.htm Domotique et Norme X10].

Pour résumer très rapidement, il permet, avec la mise en place d'émetteurs et de récepteurs, d'automatiser des tâches de la vie quotidienne au sein de son logement (ex.: ouvrir les volets, fermer la veilleuse du petit dernier...)

= Présentation =

== But recherché ==
Le but de cet article est d'expliquer comment pouvoir commander à partir de Linux les récepteurs et de programmer l'émetteur PC vers X10 (CM11) grâce à des macros.
Il existe sous Linux quelques projects qui permettent de mettre en place une 'maison domotique', le plus complet est [http://misterhouse.net/ MisterHouse]. C'est une application complexe à mettre en oeuvre et que l'on peut plus apparenter à un logiciel pour HTPC.
J'ai choisi pour ma part d'utiliser [http://heyu.tanj.com Heyu]. C'est un logiciel simple à mettre en place et à configurer et dont je vous propose de vous en expliquer l'utilisation.

== Prérequis ==
Le matériel minimum à acquérir pour tester son utilisation est :
* un pc équipé d'un port série
* un émetteur CM11
* un récepteur type AM12

A noter, il existe 2 versions de CM11, l'une USB et l'autre série, j'ai choisi d'acheter cette dernière pour être sûr de son fonctionnement avec notre OS préféré.

= Heyu =
== Installation ==
Vérifier que vous disposez de la dernière version sur le site de l'auteur :
<code>$ wget http://heyu.tanj.com/download/heyu-2.0beta.6.2.tgz
$ tar zxvf heyu-2.0beta.6.2.tgz
$ cd heyu-2.0beta.6.2
$ ./Configure
$ make
$ su (pour devenir root)
Password :
# make install
mkdir -p -m 755 /usr/local/bin
cp heyu /usr/local/bin
chgrp root /usr/local/bin/heyu
chmod 755 /usr/local/bin/heyu
chown root /usr/local/bin/heyu
./install.sh

I did not find a Heyu configuration file.
Where would you like the sample Heyu configuration file installed?
1. In directory /home/dimitri/.heyu/
2. In subdirectory .heyu/ under a different user home directory
3. In directory /etc/heyu (for system-wide access)
4. No thanks, I'll take care of it myself
Choice [1, 2, 3, or 4] ? 3
Creating directory /etc/heyu with permissions rwxrwxrwx.
Adjust ownership and permissions as required.
The sample configuration file will be installed as /etc/heyu/x10.conf

I will add the TTY port for your CM11 to the config file
Specify /dev/ttyS0, /dev/ttyS1, etc.
To which port is the CM11 attached?
/dev/ttyS0
</code>

== Configuration ==
Comme nous avons pu le voir précédemment, les fichiers de configuration vont se trouver dans le répertoire choisi à l'étape d'installation, ici /etc/heyu.
Le fichier de configuration principal est heyu.conf
<code>TTY /dev/ttyS0
HOUSECODE A
LOG_DIR NONE
SCRIPT_MODE SCRIPTS
SCHEDULE_FILE x10.sched
MODE COMPATIBLE
PROGRAM_DAYS 366
COMBINE_EVENTS YES
COMPRESS_MACROS NO
#LONGITUDE W079:49 # [degrees:minutes East or West of Greenwich]
#LATITUDE N36:04 # [degrees:minutes North or South of equator]
DAWN_OPTION FIRST
DUSK_OPTION FIRST
MIN_DAWN OFF
MAX_DAWN OFF
MIN_DUSK OFF
MAX_DUSK OFF
REPL_DELAYED_MACROS YES
WRITE_CHECK_FILES YES
</code>

Le port ttyS0 doit pouvoir être utilisé par tous les utilisateurs afin de communiquer avec le CM11 :
<code># /bin/chmod a+rw /dev/ttyS0
</code>

== Petit test ==
Tout d'abord, chaque module est identifié par un code Maison (de A à P) et un code Unité (de 1 à 16). Cette identification va permettre de commander le récepteur de la façon suivante :<br>
La commande
<code>$ /usr/local/bin/heyu on A1
</code>
permet d'allumer le récepteur A1.
Et si tout va bien, l'équipement électrique connecté sur le module doit s'allumer.
Vous me direz : "Ouais, il est gentil mais cela n'a pas beaucoup d'intérêt". Mais ce n'est que le début.

== Cas concret ==
A présent que nous avons validé le bon fonctionnement entre heyu et le CM11, passons à un cas concret.
Disons que nous voulons que soit ouvert des volets électriques à l'aube et fermer au coucher du soleil.
Pour cela il faut acquérir des modules SW10 que l'on branche en lieu et place des interrupteurs classiques monté/descente. Pour simplifier les choses, nous leur affecterons le même code maison/unité A2.

Un nouveau fichier permet de créer ce scénario /etc/heyu/x10.sched :
<code>timer smtwtfs 01/01-12/31 dusk 23:00 allumer null
timer smtwtfs 01/01-12/31 dawn 00:00 eteindre null
macro allumer 0 on a2
macro eteindre 0 off a2
</code>
smtwtfs correspond au jour de la semaine (Sunday, Monday...)

01/01 - 12/31 à la période d'exécution souhaitée

dusk au lever du soleil et dawn au coucher du soleil

Ces 2 dernières variables sont calculées en fonction des coordonnées géographiques (LONGITUDE/LATITUDE) que l'on indique dans le fichier /etc/heyu/x10.conf.

Pour vérifier les heures calculées, utilisez la commande suivante :
<code>$/usr/local/bin/heyu utility suntable
</code>

Une fois le fichier complété, il faut l'envoyer à l'emetteur CM11, pour cela :
<code>$/usr/local/bin/heyu upload
</code>

Les directives du fichier x10.sched sont envoyées au CM11 qui lui exécutera l'ensemble des macros de façon autonome.

= Pour finir =
Le x10 et heyu offre de nombreuses possibilités dont je ne vous ai fait découvrir qu'une mince partie.
N'hésitez pas à user et abuser des man heyu et autres fichiers sample disponibles avec ce logiciel.

{{Copy|01/09/2006|D. Clatot|CC-BY-SA}}

Domotique et Norme X10

2007-06-06T15:02:58Z

Jmelyn : /* Configuration */

[[Catégorie:Configurer_votre_matériel]]
= Introduction =

Le X10 est un protocole de communication par courant porteur qui permet de faire dialogeur ensemble des équipements compatibles. Je ne réinventerai pas la roue, de très bonnes documentations existent sur le sujet, notamment celle-ci [http://www.si.ens-cachan.fr/ressource/r5/r5.htm Domotique et Norme X10].

Pour résumer très rapidement, il permet, avec la mise en place d'émetteurs et de récepteurs, d'automatiser des tâches de la vie quotidienne au sein de son logement (ex.: ouvrir les volets, fermer la veilleuse du petit dernier...)

= Présentation =

== But recherché ==
Le but de cet article est d'expliquer comment pouvoir commander à partir de Linux les récepteurs et de programmer l'émetteur PC vers X10 (CM11) grâce à des macros.
Il existe sous Linux quelques projects qui permettent de mettre en place une 'maison domotique', le plus complet est [http://misterhouse.net/ MisterHouse]. C'est une application complexe à mettre en oeuvre et que l'on peut plus apparenter à un logiciel pour HTPC.
J'ai choisi pour ma part d'utiliser [http://heyu.tanj.com Heyu]. C'est un logiciel simple à mettre en place et à configurer et dont je vous propose de vous en expliquer l'utilisation.

== Prérequis ==
Le matériel minimum à acquérir pour tester son utilisation est :
* un pc équipé d'un port série
* un émetteur CM11
* un récepteur type AM12

A noter, il existe 2 versions de CM11, l'une USB et l'autre série, j'ai choisi d'acheter cette dernière pour être sûr de son fonctionnement avec notre OS préféré.

= Heyu =
== Installation ==
Vérifier que vous disposez de la dernière version sur le site de l'auteur :
<code>$ wget http://heyu.tanj.com/download/heyu-2.0beta.6.2.tgz
$ tar zxvf heyu-2.0beta.6.2.tgz
$ cd heyu-2.0beta.6.2
$ ./Configure
$ make
$ su (pour devenir root)
Password :
# make install
mkdir -p -m 755 /usr/local/bin
cp heyu /usr/local/bin
chgrp root /usr/local/bin/heyu
chmod 755 /usr/local/bin/heyu
chown root /usr/local/bin/heyu
./install.sh

I did not find a Heyu configuration file.
Where would you like the sample Heyu configuration file installed?
1. In directory /home/dimitri/.heyu/
2. In subdirectory .heyu/ under a different user home directory
3. In directory /etc/heyu (for system-wide access)
4. No thanks, I'll take care of it myself
Choice [1, 2, 3, or 4] ? 3
Creating directory /etc/heyu with permissions rwxrwxrwx.
Adjust ownership and permissions as required.
The sample configuration file will be installed as /etc/heyu/x10.conf

I will add the TTY port for your CM11 to the config file
Specify /dev/ttyS0, /dev/ttyS1, etc.
To which port is the CM11 attached?
/dev/ttyS0
</code>

== Configuration ==
Comme nous avons pu le voir précédemment, les fichiers de configuration vont se trouver dans le répertoire choisi à l'étape d'installation, ici /etc/heyu.
Le fichier de configuration principal est heyu.conf
<code>TTY /dev/ttyS0
HOUSECODE A
LOG_DIR NONE
SCRIPT_MODE SCRIPTS
SCHEDULE_FILE x10.sched
MODE COMPATIBLE
PROGRAM_DAYS 366
COMBINE_EVENTS YES
COMPRESS_MACROS NO
#LONGITUDE W079:49 # [degrees:minutes East or West of Greenwich]
#LATITUDE N36:04 # [degrees:minutes North or South of equator]
DAWN_OPTION FIRST
DUSK_OPTION FIRST
MIN_DAWN OFF
MAX_DAWN OFF
MIN_DUSK OFF
MAX_DUSK OFF
REPL_DELAYED_MACROS YES
WRITE_CHECK_FILES YES
</code>

Le port ttyS0 doit pouvoir être utilisé par tous les utilisateurs afin de communiquer avec le CM11 :
<code># /bin/chmod a+rw /dev/ttyS0
</code>

== Petit test ==
Tout d'abord, chaque module est identifié par un code Maison (de A à P) et un code Unité (de 1 à 16). Cette identification va permettre de commander le récepteur de la façon suivante :
<code>$ /usr/local/bin/heyu on A1
</code>
permet d'allumer le récepteur A1.
Et si tout va bien, l'équipement électrique connecté sur le module doit s'allumer.
Vous me direz, ouaih il est gentil mais cela n'a pas beaucoup d'intérêt. Mais ce n'est que le début.

== Cas concret ==
A présent que nous avons validé le bon fonctionnement entre heyu et le CM11, passons à un cas concret.
Disons que nous voulons que soit ouvert des volets électriques à l'aube et fermer au coucher du soleil.
Pour cela il faut acquérir des modules SW10 que l'on branche en lieu et place des interrupteurs classiques monté/descente. Pour simplifier les choses, nous leur affecterons le même code maison/unité A2.

Un nouveau fichier permet de créer ce scénario /etc/heyu/x10.sched :
<code>timer smtwtfs 01/01-12/31 dusk 23:00 allumer null
timer smtwtfs 01/01-12/31 dawn 00:00 eteindre null
macro allumer 0 on a2
macro eteindre 0 off a2
</code>
smtwtfs correspond au jour de la semaine (Sunday, Monday...)

01/01 - 12/31 à la période d'exécution souhaitée

dusk au lever du soleil et dawn au coucher du soleil

Ces 2 dernières variables sont calculées en fonction des coordonnées géographiques (LONGITUDE/LATITUDE) que l'on indique dans le fichier /etc/heyu/x10.conf.

Pour vérifier les heures calculées, utilisez la commande suivante :
<code>$/usr/local/bin/heyu utility suntable
</code>

Une fois le fichier complété, il faut l'envoyer à l'emetteur CM11, pour cela :
<code>$/usr/local/bin/heyu upload
</code>

Les directives du fichier x10.sched sont envoyées au CM11 qui lui exécutera l'ensemble des macros de façon autonome.

= Pour finir =
Le x10 et heyu offre de nombreuses possibilités dont je ne vous ai fait découvrir qu'une mince partie.
N'hésitez pas à user et abuser des man heyu et autres fichiers sample disponibles avec ce logiciel.

{{Copy|01/09/2006|D. Clatot|CC-BY-SA}}

Domotique et Norme X10

2007-06-06T15:01:17Z

Jmelyn : /* But recherché */

[[Catégorie:Configurer_votre_matériel]]
= Introduction =

Le X10 est un protocole de communication par courant porteur qui permet de faire dialogeur ensemble des équipements compatibles. Je ne réinventerai pas la roue, de très bonnes documentations existent sur le sujet, notamment celle-ci [http://www.si.ens-cachan.fr/ressource/r5/r5.htm Domotique et Norme X10].

Pour résumer très rapidement, il permet, avec la mise en place d'émetteurs et de récepteurs, d'automatiser des tâches de la vie quotidienne au sein de son logement (ex.: ouvrir les volets, fermer la veilleuse du petit dernier...)

= Présentation =

== But recherché ==
Le but de cet article est d'expliquer comment pouvoir commander à partir de Linux les récepteurs et de programmer l'émetteur PC vers X10 (CM11) grâce à des macros.
Il existe sous Linux quelques projects qui permettent de mettre en place une 'maison domotique', le plus complet est [http://misterhouse.net/ MisterHouse]. C'est une application complexe à mettre en oeuvre et que l'on peut plus apparenter à un logiciel pour HTPC.
J'ai choisi pour ma part d'utiliser [http://heyu.tanj.com Heyu]. C'est un logiciel simple à mettre en place et à configurer et dont je vous propose de vous en expliquer l'utilisation.

== Prérequis ==
Le matériel minimum à acquérir pour tester son utilisation est :
* un pc équipé d'un port série
* un émetteur CM11
* un récepteur type AM12

A noter, il existe 2 versions de CM11, l'une USB et l'autre série, j'ai choisi d'acheter cette dernière pour être sûr de son fonctionnement avec notre OS préféré.

= Heyu =
== Installation ==
Vérifier que vous disposez de la dernière version sur le site de l'auteur :
<code>$ wget http://heyu.tanj.com/download/heyu-2.0beta.6.2.tgz
$ tar zxvf heyu-2.0beta.6.2.tgz
$ cd heyu-2.0beta.6.2
$ ./Configure
$ make
$ su (pour devenir root)
Password :
# make install
mkdir -p -m 755 /usr/local/bin
cp heyu /usr/local/bin
chgrp root /usr/local/bin/heyu
chmod 755 /usr/local/bin/heyu
chown root /usr/local/bin/heyu
./install.sh

I did not find a Heyu configuration file.
Where would you like the sample Heyu configuration file installed?
1. In directory /home/dimitri/.heyu/
2. In subdirectory .heyu/ under a different user home directory
3. In directory /etc/heyu (for system-wide access)
4. No thanks, I'll take care of it myself
Choice [1, 2, 3, or 4] ? 3
Creating directory /etc/heyu with permissions rwxrwxrwx.
Adjust ownership and permissions as required.
The sample configuration file will be installed as /etc/heyu/x10.conf

I will add the TTY port for your CM11 to the config file
Specify /dev/ttyS0, /dev/ttyS1, etc.
To which port is the CM11 attached?
/dev/ttyS0
</code>

== Configuration ==
Comme nous avons pu le voir précédemment, les fichiers de configuration vont se trouver dans le répertoire choisit à l'étape d'installation, ici /etc/heyu.
Le fichier de configuration principal est heyu.conf
<code>TTY /dev/ttyS0
HOUSECODE A
LOG_DIR NONE
SCRIPT_MODE SCRIPTS
SCHEDULE_FILE x10.sched
MODE COMPATIBLE
PROGRAM_DAYS 366
COMBINE_EVENTS YES
COMPRESS_MACROS NO
#LONGITUDE W079:49 # [degrees:minutes East or West of Greenwich]
#LATITUDE N36:04 # [degrees:minutes North or South of equator]
DAWN_OPTION FIRST
DUSK_OPTION FIRST
MIN_DAWN OFF
MAX_DAWN OFF
MIN_DUSK OFF
MAX_DUSK OFF
REPL_DELAYED_MACROS YES
WRITE_CHECK_FILES YES
</code>

Le port ttyS0 doit pouvoir être utilisé par tous les utilisateurs afin de communiquer avec le CM11 :
<code># /bin/chmod a+rw /dev/ttyS0
</code>

== Petit test ==
Tout d'abord, chaque module est identifié par un code Maison (de A à P) et un code Unité (de 1 à 16). Cette identification va permettre de commander le récepteur de la façon suivante :
<code>$ /usr/local/bin/heyu on A1
</code>
permet d'allumer le récepteur A1.
Et si tout va bien, l'équipement électrique connecté sur le module doit s'allumer.
Vous me direz, ouaih il est gentil mais cela n'a pas beaucoup d'intérêt. Mais ce n'est que le début.

== Cas concret ==
A présent que nous avons validé le bon fonctionnement entre heyu et le CM11, passons à un cas concret.
Disons que nous voulons que soit ouvert des volets électriques à l'aube et fermer au coucher du soleil.
Pour cela il faut acquérir des modules SW10 que l'on branche en lieu et place des interrupteurs classiques monté/descente. Pour simplifier les choses, nous leur affecterons le même code maison/unité A2.

Un nouveau fichier permet de créer ce scénario /etc/heyu/x10.sched :
<code>timer smtwtfs 01/01-12/31 dusk 23:00 allumer null
timer smtwtfs 01/01-12/31 dawn 00:00 eteindre null
macro allumer 0 on a2
macro eteindre 0 off a2
</code>
smtwtfs correspond au jour de la semaine (Sunday, Monday...)

01/01 - 12/31 à la période d'exécution souhaitée

dusk au lever du soleil et dawn au coucher du soleil

Ces 2 dernières variables sont calculées en fonction des coordonnées géographiques (LONGITUDE/LATITUDE) que l'on indique dans le fichier /etc/heyu/x10.conf.

Pour vérifier les heures calculées, utilisez la commande suivante :
<code>$/usr/local/bin/heyu utility suntable
</code>

Une fois le fichier complété, il faut l'envoyer à l'emetteur CM11, pour cela :
<code>$/usr/local/bin/heyu upload
</code>

Les directives du fichier x10.sched sont envoyées au CM11 qui lui exécutera l'ensemble des macros de façon autonome.

= Pour finir =
Le x10 et heyu offre de nombreuses possibilités dont je ne vous ai fait découvrir qu'une mince partie.
N'hésitez pas à user et abuser des man heyu et autres fichiers sample disponibles avec ce logiciel.

{{Copy|01/09/2006|D. Clatot|CC-BY-SA}}

Domotique et Norme X10

2007-06-06T14:57:51Z

Jmelyn : /* Introduction */

[[Catégorie:Configurer_votre_matériel]]
= Introduction =

Le X10 est un protocole de communication par courant porteur qui permet de faire dialogeur ensemble des équipements compatibles. Je ne réinventerai pas la roue, de très bonnes documentations existent sur le sujet, notamment celle-ci [http://www.si.ens-cachan.fr/ressource/r5/r5.htm Domotique et Norme X10].

Pour résumer très rapidement, il permet, avec la mise en place d'émetteurs et de récepteurs, d'automatiser des tâches de la vie quotidienne au sein de son logement (ex.: ouvrir les volets, fermer la veilleuse du petit dernier...)

= Présentation =

== But recherché ==
Le but de cet article est d'expliquer comment pouvoir commander à partir de Linux les récepteurs et de programmer l'émetteur PC vers X10 (CM11) suivant des macros.
Il existe sous Linux quelques projects qui permettent de mettre en place une 'maison domotique', le plus important est [http://misterhouse.net/ MisterHouse]. C'est une application complexe à mettre en oeuvre et que l'on peut plus apparenter à un logiciel pour HTPC.
J'ai choisi pour ma part d'utiliser [http://heyu.tanj.com Heyu]. C'est un logiciel simple à mettre en place et à configurer et dont je vous propose de vous en expliquer l'utilisation.

== Prérequis ==
Le matériel minimum à acquérir pour tester son utilisation est :
* un pc équipé d'un port série
* un émetteur CM11
* un récepteur type AM12

A noter, il existe 2 versions de CM11, l'une USB et l'autre série, j'ai choisi d'acheter cette dernière pour être sûr de son fonctionnement avec notre OS préféré.

= Heyu =
== Installation ==
Vérifier que vous disposez de la dernière version sur le site de l'auteur :
<code>$ wget http://heyu.tanj.com/download/heyu-2.0beta.6.2.tgz
$ tar zxvf heyu-2.0beta.6.2.tgz
$ cd heyu-2.0beta.6.2
$ ./Configure
$ make
$ su (pour devenir root)
Password :
# make install
mkdir -p -m 755 /usr/local/bin
cp heyu /usr/local/bin
chgrp root /usr/local/bin/heyu
chmod 755 /usr/local/bin/heyu
chown root /usr/local/bin/heyu
./install.sh

I did not find a Heyu configuration file.
Where would you like the sample Heyu configuration file installed?
1. In directory /home/dimitri/.heyu/
2. In subdirectory .heyu/ under a different user home directory
3. In directory /etc/heyu (for system-wide access)
4. No thanks, I'll take care of it myself
Choice [1, 2, 3, or 4] ? 3
Creating directory /etc/heyu with permissions rwxrwxrwx.
Adjust ownership and permissions as required.
The sample configuration file will be installed as /etc/heyu/x10.conf

I will add the TTY port for your CM11 to the config file
Specify /dev/ttyS0, /dev/ttyS1, etc.
To which port is the CM11 attached?
/dev/ttyS0
</code>

== Configuration ==
Comme nous avons pu le voir précédemment, les fichiers de configuration vont se trouver dans le répertoire choisit à l'étape d'installation, ici /etc/heyu.
Le fichier de configuration principal est heyu.conf
<code>TTY /dev/ttyS0
HOUSECODE A
LOG_DIR NONE
SCRIPT_MODE SCRIPTS
SCHEDULE_FILE x10.sched
MODE COMPATIBLE
PROGRAM_DAYS 366
COMBINE_EVENTS YES
COMPRESS_MACROS NO
#LONGITUDE W079:49 # [degrees:minutes East or West of Greenwich]
#LATITUDE N36:04 # [degrees:minutes North or South of equator]
DAWN_OPTION FIRST
DUSK_OPTION FIRST
MIN_DAWN OFF
MAX_DAWN OFF
MIN_DUSK OFF
MAX_DUSK OFF
REPL_DELAYED_MACROS YES
WRITE_CHECK_FILES YES
</code>

Le port ttyS0 doit pouvoir être utilisé par tous les utilisateurs afin de communiquer avec le CM11 :
<code># /bin/chmod a+rw /dev/ttyS0
</code>

== Petit test ==
Tout d'abord, chaque module est identifié par un code Maison (de A à P) et un code Unité (de 1 à 16). Cette identification va permettre de commander le récepteur de la façon suivante :
<code>$ /usr/local/bin/heyu on A1
</code>
permet d'allumer le récepteur A1.
Et si tout va bien, l'équipement électrique connecté sur le module doit s'allumer.
Vous me direz, ouaih il est gentil mais cela n'a pas beaucoup d'intérêt. Mais ce n'est que le début.

== Cas concret ==
A présent que nous avons validé le bon fonctionnement entre heyu et le CM11, passons à un cas concret.
Disons que nous voulons que soit ouvert des volets électriques à l'aube et fermer au coucher du soleil.
Pour cela il faut acquérir des modules SW10 que l'on branche en lieu et place des interrupteurs classiques monté/descente. Pour simplifier les choses, nous leur affecterons le même code maison/unité A2.

Un nouveau fichier permet de créer ce scénario /etc/heyu/x10.sched :
<code>timer smtwtfs 01/01-12/31 dusk 23:00 allumer null
timer smtwtfs 01/01-12/31 dawn 00:00 eteindre null
macro allumer 0 on a2
macro eteindre 0 off a2
</code>
smtwtfs correspond au jour de la semaine (Sunday, Monday...)

01/01 - 12/31 à la période d'exécution souhaitée

dusk au lever du soleil et dawn au coucher du soleil

Ces 2 dernières variables sont calculées en fonction des coordonnées géographiques (LONGITUDE/LATITUDE) que l'on indique dans le fichier /etc/heyu/x10.conf.

Pour vérifier les heures calculées, utilisez la commande suivante :
<code>$/usr/local/bin/heyu utility suntable
</code>

Une fois le fichier complété, il faut l'envoyer à l'emetteur CM11, pour cela :
<code>$/usr/local/bin/heyu upload
</code>

Les directives du fichier x10.sched sont envoyées au CM11 qui lui exécutera l'ensemble des macros de façon autonome.

= Pour finir =
Le x10 et heyu offre de nombreuses possibilités dont je ne vous ai fait découvrir qu'une mince partie.
N'hésitez pas à user et abuser des man heyu et autres fichiers sample disponibles avec ce logiciel.

{{Copy|01/09/2006|D. Clatot|CC-BY-SA}}

S'identifier par une clé USB

2007-06-06T14:56:37Z

Jmelyn : /* Faire les essais ! */

[[Catégorie:Sécurité]]
[[Catégorie:Administration_système]]
== Objectif ==
Permettre l'identification d'un utilisateur par une clé USB, en remplacement ou en complèment du mot de passe

== Logiciels et matériel utilisés ==
Distribution : Debian, mais cela est normalement possible avec toutes...

Logiciel : pam_usb, un module dédié à cette utilisation pour PAM. PAM est un méchanisme d'authentification intégré à beaucoup de distributions GNU/Linux.
Attention cette méthode ne fonctionne pas avec les gestionnaires de connexion graphique comme KDM, GDM, XDM, etc. Elle est uniquement valable pour un login en mode texte.

N'importe quelle clé USB reconnue sous Linux devrait convenir. La capacité nécessaire est infime : 1 Ko suffit pour un utilisateur, avec une clé DSA de 1024 bits !

Une bonne solution pour encore plus de sécurité est de partionner votre clé : vous pouvez créer une petite partition à la fin de la clé, d'environ 1 Mo (ce qui est largement suffisant pour stocker quelques clés, en théorie on pourrait en mettre 500 dans 1 Mo !)
Ainsi, vos clés ne seront pas confondues avec le reste de vos données et il n'y a pas de risque de les effacer.

== Installation du module ==
Il n'existe malheureusement pas (encore) de paquet pour Debian. Si vous utilisez une autre distribution, essayer de vérifier s'il n'existe pas un paquet, si vous êtes sous Debian, téléchargez les sources sur le site officiel : [http://www.pamusb.org]

Sur une Debian "'sarge" les dépendances requises sont : libssl-dev, libreadline4-dev, libpam0g-dev, libpam-usb, que vous pouvez installer par apt-get. Sur Debian "etch" (testing", il faut installer tout ca et en plus libreadline5 et libreadline5-dev

Ensuite, il faut extraire les sources et lancer la compilation :
<code>$ tar xvzf pam_usb-version.tar.gz
$ cd pam_usb_version
$ make
$ su puis taper le mot de passe ''root''
# make install</code>

Et c'est tout, le module est normalement installé, s'il vous n'obtenez pas d'erreur à la compilation, auquel cas il vous faut vérifier que toutes les dépendances sont bien installées...

== Préparation du système ==
=== Montage automatique de la clé ===
Il faut que votre clé soit montée automatiquement lorsque vous l'insérez, sinon, ca ne fonctionnera pas (encore que sur mon système cela à fonctionné sans monter la clé...)
Il faut donc créer une ligne dans votre /etc/fstab qui ressemble à celle-ci :

<code multi>/dev/sda1 /media/cle auto rw,user,auto 0 0</code>

en remplacant /dev/sda1 par le périphérique qui correspond à votre clé, /media/cle par son point de montage, et auto par son système de fichiers (vous pouvez aussi laisser auto pour une détection automatique)

Pour plus de détails sur l'utilisation des clés USB vous pouvez consulter cet article
[[Hardware-hard stock-cleusb]]

== Génération des clés ==
=== Génération des clés ===
Il faut à présent générer la paire de clés publique/privée qui sera utilisée pour vous identifier.
Dans une console tapez
<code>
% usbadm keygen /media/cle login 2048</code>

en remplacant /media/cle par le point de montage de votre clé et login par le nom d'utilsateur pour lequel vous voulez générer les clés. 2048 correspond à la taille de la clé, on estime que c'est suffisant, compte tenu de la puissance des ordinateurs actuels, pour une assez grande sécurité. Cependant, n'oubliez pas que n'importe quelle clé sera ''toujours'' "piratable".

Vous obtiendrez :
<code>[!] Generating 2048 DSA key pair for thomas@p3thomas
[!] Extracting private key...
[+] Private key extracted.
[+] Private key successfully written.
[!] Writing public key...
[+] Public key successfully written.</code>

Vos clés ont donc été générées dans un dossier caché nommé .auth de votre clé USB.

Il faut répéter cette opération pour tous les utilsateurs qui veulent utiliser leur clé pour s'identifier.

=== Facultatif : cryptage des clés ===
Pour plus de sécurité, il est possible de crypter les clés, par la commande
<code>
% usbadm cipher /media/cle login</code>
il vous sera demandé l'algorythme à utiliser :
<code multi>
[!] Importing the private key...
[+] Private key imported
[!] Encrypting the private key may prevent someone to authenticate with
your key. The drawback is that pam_usb will prompt you for password
every time you authenticate.
[?] Which algorithm want you to use ? (none/des3/twofish):
</code>

Pour pouvoir protéger votre clé par une ''passphrase'', il faut choisir des3.

Il vous sera demandé la ''passphrase'', qu'il vous sera ensuite nécessaire de taper à chaque utilisation de la clé, c'est à dire à chaque identification.

Et votre clé est cryptée !

== Paramètrage du système ==
Il ne reste plus qu'à modifier le comportement de PAM pour qu'il prenne en compte le module pam_usb.
Trois cas (ou plus ?) sont possibles :
* Identification par clé USB uniquement. Aucun mot de passe (sauf la ''passphrase'' de la clé DSA si vous en avez une) ne sera requis
* Identification par clé '''et''' par mot de passe. Votre mot de passe sera comme avant demandé, mais si la clé USB n'est pas présente vous ne pourrez pas vous identifier. C'est la solution la plus sure, mais aussi la moin pratique.
* Identification par clé USB '''ou''' par mot de passe. L'un ou l'autre suffit.

Dans les trois cas tout se passera dans les fichiers du répertoire /etc/pam.d
Pour utiliser cette méthode uniquement au moment du login, il faut modifier le fichier /etc/pam.d/login. Pour l'utiliser à toutes les identifications, il faut agir sur le fichier /etc/pam.d/common-auth

=== Identification par clé uniquement ===
Il faut modifier le fichier /etc/pam.d/common-auth comme suit :
<code>auth required usb_pam.so
</code>
et commenter la ligne :
<code>auth required pam_unix.so nullok_secure
</code>

=== Identification par clé et mot de passe ===
Il faut comme précèdemment ajouter la ligne
<code>auth required usb_pam.so
</code>
et laisser le reste du fichier tel quel.

=== Identification par clé ou par mot de passe ===
Ajouter la ligne au fichier /etc/pam.d/common-auth
<code>auth sufficient usb_pam.so
</code>

== Faire les essais ! ==
Normalement vous pouvez vous délogguer, et faire l'essai !
Dans un premier temps je vous conseille d'utiliser l'authentification par clé ou par mot de passe, car, si l'identification par clé ne fonctionne pas, vous pourrez toujours vous logguer avec votre mot de passe pour corriger ce qui ne va pas.

=== Rattrapper les erreurs ===
Si par malheur vous avez modifié le fichier en mettant
auth required pam_sub.so
et que votre clé ne fonctionne plus, alors vous ne pouvez plus vous loguer !
La solution consiste à booter sur un Live-CD, monter votre partition système, et modifier le fichier pour supprimer l'identification par clé.

(à tester) Une autre solution consiste à booter sur un kernel avec l'option '''single'''. En général les kernels marqués par '''failsafe''' dans le bootloader comportent cette option.

{{Copy|28 fév 2006|[[Utilisateur:Thomas.debay|Thomas.debay]]|CC-BY-SA}}

S'identifier par une clé USB

2007-06-06T14:52:53Z

Jmelyn : /* Logiciels et matériel utilisés */

[[Catégorie:Sécurité]]
[[Catégorie:Administration_système]]
== Objectif ==
Permettre l'identification d'un utilisateur par une clé USB, en remplacement ou en complèment du mot de passe

== Logiciels et matériel utilisés ==
Distribution : Debian, mais cela est normalement possible avec toutes...

Logiciel : pam_usb, un module dédié à cette utilisation pour PAM. PAM est un méchanisme d'authentification intégré à beaucoup de distributions GNU/Linux.
Attention cette méthode ne fonctionne pas avec les gestionnaires de connexion graphique comme KDM, GDM, XDM, etc. Elle est uniquement valable pour un login en mode texte.

N'importe quelle clé USB reconnue sous Linux devrait convenir. La capacité nécessaire est infime : 1 Ko suffit pour un utilisateur, avec une clé DSA de 1024 bits !

Une bonne solution pour encore plus de sécurité est de partionner votre clé : vous pouvez créer une petite partition à la fin de la clé, d'environ 1 Mo (ce qui est largement suffisant pour stocker quelques clés, en théorie on pourrait en mettre 500 dans 1 Mo !)
Ainsi, vos clés ne seront pas confondues avec le reste de vos données et il n'y a pas de risque de les effacer.

== Installation du module ==
Il n'existe malheureusement pas (encore) de paquet pour Debian. Si vous utilisez une autre distribution, essayer de vérifier s'il n'existe pas un paquet, si vous êtes sous Debian, téléchargez les sources sur le site officiel : [http://www.pamusb.org]

Sur une Debian "'sarge" les dépendances requises sont : libssl-dev, libreadline4-dev, libpam0g-dev, libpam-usb, que vous pouvez installer par apt-get. Sur Debian "etch" (testing", il faut installer tout ca et en plus libreadline5 et libreadline5-dev

Ensuite, il faut extraire les sources et lancer la compilation :
<code>$ tar xvzf pam_usb-version.tar.gz
$ cd pam_usb_version
$ make
$ su puis taper le mot de passe ''root''
# make install</code>

Et c'est tout, le module est normalement installé, s'il vous n'obtenez pas d'erreur à la compilation, auquel cas il vous faut vérifier que toutes les dépendances sont bien installées...

== Préparation du système ==
=== Montage automatique de la clé ===
Il faut que votre clé soit montée automatiquement lorsque vous l'insérez, sinon, ca ne fonctionnera pas (encore que sur mon système cela à fonctionné sans monter la clé...)
Il faut donc créer une ligne dans votre /etc/fstab qui ressemble à celle-ci :

<code multi>/dev/sda1 /media/cle auto rw,user,auto 0 0</code>

en remplacant /dev/sda1 par le périphérique qui correspond à votre clé, /media/cle par son point de montage, et auto par son système de fichiers (vous pouvez aussi laisser auto pour une détection automatique)

Pour plus de détails sur l'utilisation des clés USB vous pouvez consulter cet article
[[Hardware-hard stock-cleusb]]

== Génération des clés ==
=== Génération des clés ===
Il faut à présent générer la paire de clés publique/privée qui sera utilisée pour vous identifier.
Dans une console tapez
<code>
% usbadm keygen /media/cle login 2048</code>

en remplacant /media/cle par le point de montage de votre clé et login par le nom d'utilsateur pour lequel vous voulez générer les clés. 2048 correspond à la taille de la clé, on estime que c'est suffisant, compte tenu de la puissance des ordinateurs actuels, pour une assez grande sécurité. Cependant, n'oubliez pas que n'importe quelle clé sera ''toujours'' "piratable".

Vous obtiendrez :
<code>[!] Generating 2048 DSA key pair for thomas@p3thomas
[!] Extracting private key...
[+] Private key extracted.
[+] Private key successfully written.
[!] Writing public key...
[+] Public key successfully written.</code>

Vos clés ont donc été générées dans un dossier caché nommé .auth de votre clé USB.

Il faut répéter cette opération pour tous les utilsateurs qui veulent utiliser leur clé pour s'identifier.

=== Facultatif : cryptage des clés ===
Pour plus de sécurité, il est possible de crypter les clés, par la commande
<code>
% usbadm cipher /media/cle login</code>
il vous sera demandé l'algorythme à utiliser :
<code multi>
[!] Importing the private key...
[+] Private key imported
[!] Encrypting the private key may prevent someone to authenticate with
your key. The drawback is that pam_usb will prompt you for password
every time you authenticate.
[?] Which algorithm want you to use ? (none/des3/twofish):
</code>

Pour pouvoir protéger votre clé par une ''passphrase'', il faut choisir des3.

Il vous sera demandé la ''passphrase'', qu'il vous sera ensuite nécessaire de taper à chaque utilisation de la clé, c'est à dire à chaque identification.

Et votre clé est cryptée !

== Paramètrage du système ==
Il ne reste plus qu'à modifier le comportement de PAM pour qu'il prenne en compte le module pam_usb.
Trois cas (ou plus ?) sont possibles :
* Identification par clé USB uniquement. Aucun mot de passe (sauf la ''passphrase'' de la clé DSA si vous en avez une) ne sera requis
* Identification par clé '''et''' par mot de passe. Votre mot de passe sera comme avant demandé, mais si la clé USB n'est pas présente vous ne pourrez pas vous identifier. C'est la solution la plus sure, mais aussi la moin pratique.
* Identification par clé USB '''ou''' par mot de passe. L'un ou l'autre suffit.

Dans les trois cas tout se passera dans les fichiers du répertoire /etc/pam.d
Pour utiliser cette méthode uniquement au moment du login, il faut modifier le fichier /etc/pam.d/login. Pour l'utiliser à toutes les identifications, il faut agir sur le fichier /etc/pam.d/common-auth

=== Identification par clé uniquement ===
Il faut modifier le fichier /etc/pam.d/common-auth comme suit :
<code>auth required usb_pam.so
</code>
et commenter la ligne :
<code>auth required pam_unix.so nullok_secure
</code>

=== Identification par clé et mot de passe ===
Il faut comme précèdemment ajouter la ligne
<code>auth required usb_pam.so
</code>
et laisser le reste du fichier tel quel.

=== Identification par clé ou par mot de passe ===
Ajouter la ligne au fichier /etc/pam.d/common-auth
<code>auth sufficient usb_pam.so
</code>

== Faire les essais ! ==
Normalement vous pouvez vous délogguer, et faire l'essai !
Dans un premier temps je vous conseille d'utiliser l'authentification par clé ou par mot de passe, car, si l'identification par clé ne fonctionne pas, vous pourrez toujours vous logguer avec votre mot de passe pour corriger ce qui ne vas pas.

=== Rattrapper les erreurs ===
Si par malheur vous avez modifié le fichier en mettant
auth required pam_sub.so
et que votre clé ne fonctionne plus, alors vous ne pouvez plus vous loogguer !
La solution consiste en booter sur un Live-CD, monter votre partition système, et modifier le fichier pour supprimer l'identification par clé.

(à tester) Une autre solution consiste à booter sur un kernel avec l'option '''single'''. En général les kernels marqués par '''failsafe''' dans le bootloader comportent cette option.

{{Copy|28 fév 2006|[[Utilisateur:Thomas.debay|Thomas.debay]]|CC-BY-SA}}

Tenir compte de la sécurité au quotidien

2006-11-27T20:23:06Z

Jmelyn : /* chkrootkit */

[[Category:Fiche sécurité]]
<div class="leapar">Par [[Utilisateur:Merlin8282|merlin8282]] et [[Utilisateur:Fleury|Fleury]].</div>
== Introduction ==
Un ordinateur n'est jamais en sécurité, quand bien même on croit qu'il l'est. Un dicton informatique dit d'ailleurs que l'ordinateur le plus sûr est celui qui est éteint. Cet article est là pour vous faire découvrir les différents risques que l'on court en ayant un ordinateur connecté à un réseau, ainsi que les bonnes habitudes à prendre afin de sécuriser sa machine personnelle (nous ne parlerons pas de la sécurisation de serveur en production). Enfin nous aborderons les différents moyens d'analyse post-mortem d'une machine après une attaque et comment la nettoyer avant de la remettre en ligne.

Pour tout le document (et de manière générale), il est évidemment conseillé de lire les pages de manuel des commandes avant de poser des questions.
Lisez aussi les articles connexes en cliquant sur les hyperliens dans le texte car dans ce document je ne m'étale justement pas sur les sujets pour lesquels il existe déjà un article.

Pour lire ce document, il est aussi important d'être à l'aise avec les concepts essentiels de [http://fr.wikipedia.org/wiki/Linux Linux]. Cela permettra d'une part de mieux comprendre ce que vous faîtes et d'autre part de mieux réagir en cas d'attaque, donc, documentez vous sur ce système et son langage de commande ([[Admin-admin_env-shell|shell]]). Lisez aussi la documentation expliquant ce que sont [[Admin-admin_boot-daemons|les daemons et comment ils fonctionnent]], comment fonctionne un réseau, comment gérer les permissions des fichiers, et tout ce qui pourrait être relatif à l'administration Linux. Plus vous en saurez à propos de Linux mieux vous serez armé pour démarrer avec ce document.

== Petit survol de la sécurité informatique ==
La sécurité informatique est un domaine que l'on pourrait séparer en trois parties. La première s'occupe de la sécurité des données, c'est la cryptologie, la plus connue et la plus théorique des trois. La seconde s'occupe de la sécurité des protocoles, elle comprend notamment la sécurité réseau. Enfin, la dernière et la moins connue des trois est la sécurité logicielle, elle s'occupe notamment des failles du genre débordement de tampon (buffer-overflow) et autres (format string, integer overflow, etc).

Dans ce petit survol des risques potentiels en matière de sécurité informatique nous aborderons la sécurité réseau et la sécurité logicielle. La cryptologie ne sera pas abordée car c'est une science très complexe et de toute façon inaccessible au simple utilisateur. Pour finir nous aborderons l'ingénierie sociale qui reste inclassable mais qui est un risque non négligeable.

=== La sécurité réseau ===
Le but de la sécurité réseau est de connaître les forces et les faiblesses des protocoles. Du point de vue de l'attaquant, on se posera des questions comme: ''Comment abuser un firewall ? Comment tirer un maximum d'informations d'un serveur ? Comment aveugler un système de détection d'intrusion ?'' Du point de vue du défenseur, les questions qui se posent sont surtout comment détecter les comportements réseaux anormaux et empêcher (ou au moins réagir face à) une attaque.

Un certain nombre de mots clefs sont associés à la sécurité réseau. Ainsi on parle de firewalls, d'IDS, d'IPS, de scanneurs réseaux, de sniffeurs et autres. Nous allons ici définir quelques-uns de ces mots.

==== Firewalls ====
Pour le définir de manière concise, un firewall (pare-feu) est un filtre réseau qui va pouvoir stopper certains paquets réseau. Suivant le type de trafic qu'ils analysent et à quel niveau ils se placent sur la couche OSI on va parler de plusieurs types de firewalls:

* '''Stateless firewall''': Ce firewall est le plus basique, il ne fait que regarder les paquets réseau un par un et les accepte ou les rejette uniquement sur la base de son fichier de configuration.

* '''Stateful firewall''': Aussi appelé ''connection tracking firewall'', ce firewall permet de tirer parti d'une connaissance du protocole (TCP par exemple). Il garde en mémoire les connections qui sont en cours et l'état dans lequel elles sont (en cours d'établissement, établie, en train d'être achevées, etc). L'avantage de ce firewall est qu'il permet une configuration plus fine avec moins de lignes mais son inconvénient est qu'il utilise un peu de mémoire pour chaque connexion et qu'il est susceptible de se faire saturer (Déni de service).

* '''Firewall applicatif''': Il en existe plusieurs sortes : les proxy, les filtres de contenu (clamav), etc. sont tous des firewalls applicatifs. Contrairement aux firewalls précédents qui résident habituellement dans le noyau, les firewalls applicatifs sont habituellement basés dans l'espace utilisateur. Ces firewalls servent le plus souvent de relais avec éventuellement un contrôle sur le contenu de ce qui transite (quoique le plus souvent les proxy web ne contrôlent pas le contenu des requêtes même s'ils le pourraient).

Sous Linux, le firewall par défaut est [http://www.netfilter.org/ Netfilter], il possède la capacité de faire du Stateless et du Stateful pour divers protocoles. Les firewalls applicatifs existent aussi mais ne sont pas gérés par Netfilter. Nous verrons plus loin comment piloter Netfilter à l'aide de iptables.

==== Scanneur réseau ====
Un scanneur réseau est simplement un petit logiciel qui tente d'explorer un réseau ou une machine de façon distante (c'est à dire via le réseau). Pour cette exploration le scanneur va tenter de se connecter à une ou plusieurs machines de façon directe ou indirecte. Il faut bien comprendre que le but premier du scanneur de réseau est de collecter de l'information (présence/abscence de services) sur un réseau ou une machine et uniquement cela. L'usage d'un scanneur est par conséquent légal (sauf si vous avez signé une charte qui dit le contraire) mais collecter beaucoup d'informations sur un réseau peut vous rendre suspect aux yeux de ceux qui le gèrent.

Le plus connu des scanneur est sans conteste [http://www.insecure.org/nmap/ nmap]. Il possède un grand nombre d'options et permet d'extraire beaucoup d'informations sur votre environnement réseau. Pour peu que vous soyez root sur la machine que vous utilisez, vous pouvez tenter le jeu d'options suivant (regardez le manuel pour savoir ce qu'elles font): <code>nmap -F -O -sV <ip_cible></code>

<code>nmap</code> est bien sûr un scanneur réseau ''basique'', il en existe des bien plus avancés qui utilisent nmap comme brique de base mais qui scannent non plus les services réseau mais les vulnérabilités. On peut ainsi citer [http://www.nessus.org/ nessus] qui permet de tester son réseau contre un grand nombre d'attaques.

Lorsqu'un pirate veut s'en prendre à vous, la première chose qu'il fera sera de vous scanner et extraire un maximum d'informations sur votre réseau. Mieux vaut savoir quelles informations vous laissez filtrer à l'extérieur pour connaître vos faiblesses.

==== Sniffeurs ====
Un sniffeur est un petit logiciel qui va se mettre à l'écoute de tous les paquets réseau qui passent à la portée de votre ordinateur. Habituellement votre machine ne va considérer que les paquets qui vous sont addressés mais l'on peut pervertir l'usage habituel et faire en sorte que votre machine vous permette d'accéder aussi aux paquets qui ne vous sont pas adressés. On appelle cela le mode ''promiscuous'' pour les cartes ethernet et le mode ''monitor'' pour les cartes wifi.

Les sniffeurs sont largement utilisés à la fois par les pirates et par les ingénieurs systèmes. Les pirates les utilisent essentiellement pour récupérer des informations sur un réseau ou même plus. En effet, lorsqu'ils ont compromis une machine de votre réseau, il peuvent laisser tourner de façon cachée un de ces sniffeurs qui va collecter des informations qui transitent par la carte réseau de la machine piratée. Par exemple, tous les mots de passe en clair peuvent être récupérés à moindre frais. D'un autre coté, les administrateurs réseaux ont aussi un grand usage des sniffeurs, ils servent le plus souvent de débogueur réseau mais aussi d'espion pour essayer d'identifier des comportements sur le réseau qui ne seraient pas normal ou qui laisseraient supposer à une attaque (voir les IDS plus loin).

Il existe un très grand nombre de sniffeurs réseau, les deux plus connus sont sans doute [http://www.wireshark.org wireshark] (ex-[http://www.ethereal.com/ ethereal]) et [http://www.tcpdump.org tcpdump]. D'autres sont plus spécialisés comme par exemple [http://lcamtuf.coredump.cx/p0f.shtml p0f] (sniffeur passif de détection d'OS), [http://www.monkey.org/~dugsong/dsniff/ dsniff] (sniffeur de mots de passe) ou encore [http://www.kismetwireless.net/ kismet] (sniffeur wifi).

==== IDS, IPS et honeypots ====
Pour finir ce petit tour de la sécurité réseau nous allons faire un tour du coté des armes auxquelles vous avez accès pour vous défendre.

Pour faire court, les IDS (Intrusion Detection Systems) sont des sondes qui espionnent votre réseau et enregistrent les phénomènes bizarres ou qui pourraient ressembler à des attaques potentielles. Le rôle d'un IDS n'est pas de prévenir des attaques mais vraiment de jouer un rôle similaire à celui de la boîte noire d'un avion après une catastrophe afin de savoir ce qui s'est passé et éventuellement collecter des preuves contre les attaquants.

Il y a trois types d'IDS :
* les '''IDS réseaux''' du genre [http://www.snort.org snort] qui s'assurent de l'intégrité d'un réseau par une analyse du trafic qu'il y a dessus,
* les '''IDS systèmes''' du genre [http://sourceforge.net/projects/tripwire/ tripwire] qui s'assurent de l'intégrité d'un système en stockant un [http://fr.wikipedia.org/wiki/Cyclic_redundancy_check CRC] des principaux fichiers de configuration et des binaires pour s'assurer qu'ils n'ont pas été corrompu,
* les '''IDS hybrides''' qui tentent de rassembler les deux précédents, du genre [http://www.prelude-ids.org/ prelude-IDS].

Les IPS (Intrusion Prevention Systems) sont à peine différents des IDS puisqu'en cas de détection d'une attaque probable, alors que l'IDS se contente d'enregistrer les logs, l'IPS tente de contrer l'attaque en réagissant.

Enfin, les [http://fr.wikipedia.org/wiki/Honeypot honeypots] (pots de miel) sont des simulations de machines faibles. La constatation est simple, les pirates s'attaquent logiquement toujours au point le plus faible de votre réseau. Avoir des points faibles factices et bardés d'alarmes discrètes vous permet non seulement de détourner momentanément les pirates des vraies machines et de les freiner mais aussi de détecter plus facilement les intrus qui se laissent prendre au piège.

Voila, nous avons fait un (très) rapide tour des mots clefs importants en matière de sécurité réseau. Nous allons à présent quitter le réseau et nous intéresser de plus près à ce qui se passe sur vos serveurs et vos machines.

=== La sécurité logicielle ===
Lorsque les pirates n'en ont pas après ce qui circule sur votre réseau, c'est qu'ils tentent de pénétrer une (ou plusieurs) machine(s) et c'est là que commence la sécurité logicielle...

Contrairement à ce que vous pourriez croire, la plupart du temps, les attaques que subi votre ordinateur ne sont pas dûes à des humains mais plutôt à des logiciels automatiques. Les failles listées dans la catégorie ''sécurité logicielle'' sont donc exploitées le plus souvent par des logiciels ''malveillants'' ([http://fr.wikipedia.org/wiki/Logiciel_malveillant malware] en anglais). Ces logiciels peuvent être des ''virus'', des ''vers'', des ''chevaux de Troie'' ou encore des ''rootkits'' mais ils ont tous en commun d'exploiter des failles classiques ou de rendre les systèmes sur lesquels ils résident plus faibles face à des attaquants extérieurs. Nous allons ici lister ces malware et tenter d'en donner une définition succinte.

==== Virii et Vers ====
Un virus est un petit programme qui a la particularité de se reproduire et de se propager d'un système à l'autre suivant certains vecteurs. Cela peut être les mails ou même l'utilisateur lui-même qui va copier le logiciel sur d'autres systèmes. Les vers sont une sorte particulière de virus qui se propagent uniquement via le réseau Internet (l'un des plus célèbre fut Blaster en 2003 qui visait essentiellement des systèmes Microsoft Windows). Certains virus fonctionnent et infectent les systèmes linux, mais leur nombre est plus réduit que ceux qui attaquent les systèmes Windows. Grâce à la rareté de ces virus et à la réactivité de la communauté libre face aux nouvelles failles découvertes, ce genre de malware ne se propage que très difficilement sur les systèmes Linux, et par conséquent Unix.

Il est à signaler que le terme de ''virus'' n'est pas anodin, l'application des patchs de sécurité (l'équivalent d'un vaccin pour reprendre l'analogie biologique) pendant une attaque virale revient réellement à enrayer une épidémie. Ne pas ''vacciner'' votre PC pendant une épidémie virale revient presque exactement au même que refuser de vous vacciner contre la grippe en pleine épidémie (avec la différence que la propagation des virii informatiques est environs cent à mille fois plus rapide qu'avec les virii biologiques). Non seulement vous vous exposez au virus mais en plus vous créez un nouveau foyer d'infection qui va permettre au virus de se propager encore un peu plus. Il faut donc être vigilant et appliquer régulièrement les correctifs de sécurité de votre système pour ne pas s'exposer à des virii, qui pourraient alors s'infiltrer facilement via les failles que vous auriez laissé béantes.

==== Chevaux de Troie ====
Les chevaux de Troie sont des logiciels qui tentent d'abuser l'utilisateur en se faisant passer pour autre chose que ce qu'ils sont réellement (un jeu, un petit utilitaire, ou encore une commande classique comme <code>ssh</code>, etc). Ces logiciels semblent fonctionner exactement comme ils devraient mais peuvent accomplir des actions malveillantes contre votre système. Par exemple, si la commande <code>login</code> a été remplacée, on pourrait imaginer qu'un login particulier permette de se connecter en root de façon distante en plus de remplir sa tâche normalement. S'il s'agissait de la commande <code>ssh</code>, on pourrait effectuer une sauvegarde de toutes machines, les logins et les machines, les clefs privées, etc qui passent à travers cette commande (et même les envoyer vers un dépot quelque part sur l'Internet). Enfin, on peut imaginer un logiciel de jeu qui tous les vendredi 13 se mette à effacer le contenu de votre compte.

Les chevaux de Troie peuvent être aussi un vecteur de propagation pour les virus comme le célèbre ver "I love you" qui se propageait par mail ou aussi être contenu dans un virus qui va l'installer sur le système qu'il a infecté avant de tenter de se propager vers d'autres systèmes.

==== Rootkits ====
Enfin, les [http://fr.wikipedia.org/wiki/Rootkit rootkits] sont des logiciels qui facilitent l'accès réseau discret des pirates sur le système. Leur nom vient du fait qu'ils permettent aux pirates d'accéder au système infecté avec des droits équivalents (ou même supérieurs) au root. À l'origine ces rootkits étaient un ensemble de chevaux de Troie mimant les commandes classiques du système (<code>ps</code>, <code>login</code>, <code>ls</code>, etc). De nos jours, les rootkits sont quasi-essentiellement des kernel-rootkits, c'est à dire qu'ils se branchent directement sur le noyau pour modifier les informations que pourraient lire les utilisateurs du système. Ce dernier type de rootkit permet aux pirates une réelle invisibilité du point de vue des autres utilisateurs (y compris du root). Vous l'aurez compris, ces rootkits sont très difficiles à repérer avec des moyens standards et compromettent très profondément votre système. C'est pour cela qu'il n'est jamais mauvais d'installer et de lancer régulièrement des logiciels du type [http://www.chkrootkit.org/ chkrootkit], qui vérifient la présence de rootkits.

==== Attention aux mélanges !!! ====
Évidemment, tous ces malwares peuvent se combiner entre eux pour former des combinaisons souvent difficiles à contrer. On peut citer l'exemple du vers 1i0n ([http://www.cert.org/incident_notes/IN-2001-03.html rapport CERT], Mars 2001) qui ciblait essentiellement des failles sur les systèmes Unix faisant tourner un serveur BIND et qui installait le rootkit ''erkms'' avant de continuer à se propager. Ce malware combinait à la fois un ver et un rootkit lui-même composé d'un certain nombre de chevaux de Troie.

=== Ingénierie sociale ===
Une dernière technique de piratage existe. Et bien qu'elle soit inclassable du point de vue technique, c'est probablement la plus efficace.

Souvent, si le pirate est humain, c'est un ''insider'' (quelqu'un de l'intérieur), ou quelqu'un qui peut avoir un accès physique aux machines (stagiaire, agent d'entretien, ou simplement qui connaît votre numéro de téléphone ou votre adresse e-mail). Dans ces conditions, il aura simplement recours à de l'[http://fr.wikipedia.org/wiki/Ingénierie_sociale ingénierie sociale]. Cette méthode consiste à profiter de la crédulité des gens qui souvent écrivent leurs mots de passe sur un bout de papier et les laissent à proximité de l'ordinateur. D'autres victimes sont par exemple appelées par téléphone ou contactées via e-mail par l'attaquant qui se fait alors passer pour l'agent d'un service technique quelconque, il prétend avoir besoin de leur mot de passe pour faire des tests.

Cela peut paraître trivial mais c'est la technique qui donne le plus de résultats avec le moins d'investissement en temps et en connaissance. [http://fr.wikipedia.org/wiki/Kevin_Mitnick Kevin Mitnick], un des rois du piratage était passé maître dans ce type d'attaques. Il avait un aplomb et un génie de l'improvisation alliés à des connaissances techniques hors du commun qui lui ont permis de réaliser des miracles (du mauvais côté de la loi, hélas).

Se prémunir contre ce genre d'attaques est simple: Ne confiez vos mots de passe à personne et méfiez-vous lorsqu'on vous les demande.

== Sécuriser sa machine ==
[http://fr.wikipedia.org/wiki/Bruce_Schneier Bruce Schneier], un des pontes de la sécurité informatique, a dit un jour: "''La sécurité n'est pas un produit, c'est un processus''" (''Security is not a product, it's a process''). L'idée que vous pourriez sécuriser votre machine une bonne fois pour toute lors de l'installation et ne plus y toucher ensuite n'est tout simplement pas envisageable. Tout comme les virii biologiques qui mutent pour contourner les défenses immunitaires de leurs hôtes et pouvoir survivre, les pirates inventent constamment de nouvelles techniques ou se servent de failles inédites et produisent des malwares qui pourront contourner des défenses qui étaient parfaitement sûres quelques semaines auparavant. Maintenir une défense contre les agressions des pirates est une veille constante de l'état de votre machine. Évidemment, sans sombrer dans la paranoïa, il va vous falloir accorder une attention à la sécurité de votre machine qui est proportionnelle à la valeur que vous accordez à ce qu'elle protège.

Cette section essaye de donner quelques conseils pour rendre votre machine plus sûre en vous donnant les moyens de résister à la plupart des attaques. '''Attention''', même si vous suivez tous ces conseils votre machine ne sera pas invulnérable, elle sera seulement plus difficile d'accès (ce qui décourage déjà 99% des malwares et des attaquants).

=== Les 10 règles d'or en sécurité ===
Il existe certaines règles qui permettent de se prémunir contre la plupart des attaques. Certaines sont simples et faciles à mettre en œuvre, d'autres sont plus complexes. Voici une liste (non exhaustive) de dix règles à suivre pour sécuriser votre ordinateur. Ces règles sont classées dans un ordre de difficulté croissant. Suivre les règles les plus simples est '''indispensable''' alors que les plus complexes permettent de sécuriser un peu plus votre machine mais ne sont pas forcément aussi importantes. Le mieux est de s'arrêter à l'endroit de la liste qui vous semble trop obscur. Une mesure de protection mal configurée étant souvent pire qu'une absence de protection.

# '''Attention à vos mots de passe''' (choisissez les bien et ne les confiez pas à des inconnu(e)s)
# '''Préférez les protocoles chiffrés''' (préférez ssh à telnet, scp à ftp, pop+ssl à pop, ...)
# '''N'executez et/ou installez pas n'importe quoi''' (attention aux chevaux de Troie)
# '''Passez root le moins souvent possible''' (root a beaucoup de droits et cela peut se retourner contre vous)
# '''Appliquez le principe du privilège minimum''' (Ne donnez un droit que s'il est nécessaire)
# '''Minimisez vos services''' (Si c'est inutile alors c'est dangereux)
# '''Mettez votre distribution à jour''' (Appliquez les correctifs de sécurité aussi souvent que possible)
# '''Filtrez et surveillez votre trafic réseau''' (Activez le firewall et éventuellement un IDS)
# '''Gardez un œil sur vos données''' (Sauvegardez-les et utilisez des logiciels comme tripwire)
# '''Renforcez votre noyau''' (Ajoutez des modules de sécurité optionnels: SELinux, ASLR, ...)

Une fois ces dix règles édictées, nous allons creuser celles qui valent la peine de l'être.

=== Un bon mot de passe, c'est quoi ? ===
Votre mot de passe est la clef de voûte de votre sécurité, il est extrêmement important de le choisir correctement... mais aussi de le mémoriser facilement.

Pour commencer, un ''mauvais'' mot de passe est un mot de passe pour lequel vous pouvez répondre "oui" à l'une des 7 questions suivantes:

# Avez vous écrit sur un bout de papier votre mot de passe ?
# Votre mot de passe est-il un mot commun que l'on peut trouver dans le dictionnaire ?
# Votre mot de passe est-il un mot commun suivi de 2 chiffres ?
# Votre mot de passe est-il un nom de personne, de lieu ou d'animal ?
# Quelqu'un d'autre connait-il votre mot de passe ?
# Utilisez vous le meme mot de passe pour plusieurs comptes et pour une longue période ?
# Utilisez vous le mot de passe par défaut du constructeur ou de l'éditeur ?

Si vous vous trouvez dans la situation de générer un nouveau mot de passe, voici une technique simple mais qui a fait ses preuves:

# Choisissez un mot ou une phrase qui a un sens pour vous (mais qui reste obscur aux yeux des autres). Par exemple votre personnage préféré dans une pièce, l'animal que vous aviez pendant votre enfance, etc... Notre exemple pour la suite sera "'''mot de passe'''"
# Enlevez les espaces et le remplacez caractères non ASCII (difficile de trouver l'accent sur un clavier QWERTY-us si vous êtes en déplacement). Par exemple: "'''motdepasse'''"
# Substituez les lettres qui s'y prêtent par des nombres. Par exemple: "'''m0tdep4ss3'''"
# Mettez en majuscule certaines lettres. Par exemple: "'''m0TDep4SS3'''"
# Ajoutez des nombres en fin du mot de passe. Par exemple: "'''m0TDep4SS301'''"
# Ajoutez un ou plusieurs caractères qui ne sont ni des lettres, ni des nombres. Par exemple: "'''m0T'De'p4SS3#01'''"

Et voilà, vous avez un beau mot de passe difficilement reconaissable mais mémorisable.

Enfin, si vous n'avez toujours pas confiance dans votre mot de passe, il existe un certain nombre de logiciels de crackage de mots de passe qui peuvent tourner en tâche de fond et vous indiquer quand il est temps de changer de mot de passe. [http://www.openwall.com/john/ John The Ripper] est sans doute le plus célèbre de ces logiciels (un paquetage doit exister pour votre distribution).

=== Politique de restriction des privilèges ===
Comme nous l'avons dit plus haut, accorder des privilèges non nécessaires à des utilisateurs ou des programmes peut s'avérer très dangereux si l'attaquant prend leur contrôle. Il pourra profiter de ces privilèges supplémentaires et les exploiter comme des failles de votre système.

==== Principe du privilège minimum ====
Le principe du privilège minimum est apparu au milieu des années 70 et sa formulation originale était la suivante: "'''Chaque programme et chaque utilisateur du système devrait opérer en utilisant le plus petit nombre de privilèges possible pour accomplir sa tâche.'''"

Sous Linux, le [http://lea-linux.org/cached/index/Permissions.html modèle des privilèges] de base identifie des objets (les fichiers), des actions (read, write, execute) et des acteurs (les utilisateurs et les groupes). Le type de contrôle que l'on peut exercer sur les privilèges est donné par le modèle du ''Discretionary Access Control'' (DAC) qui veut qu'une fois un utilisateur authentifié il ait tous les droits sur tous les objets qu'il possède.

Pour appliquer le principe du privilège minimum, il faut vous demander si chaque objet qui vous appartient a vraiment besoin d'être ouvert en lecture, écriture ou encore exécution. Si ce n'est pas le cas, supprimez ce droit. Par exemple, pourquoi laisser les autres utilisateurs avoir accès à votre compte en lecture ? C'est certes plus pratiques de temps en temps, mais si vous n'y prêtez pas attention, un attaquant pourrait s'infiltrer dans votre compte et voler des informations que vous ne voudriez pas voir partir. Le mieux est donc de mettre votre <code>umask</code> à <code>700</code> et de restreindre ainsi l'accès à votre compte.

'''Note''': D'autres modèles de contrôle existent, notamment de le ''Mandatory Access Control'' (MAC) implémenté par SELinux et d'autres (''Role-Based Access Control'', RBAC).

==== Bit setuid et sudo, avantages et inconvénients ====
Le bit setuid permet d'exécuter un binaire avec les droits, non pas de celui qui lance le programme, mais de celui qui le possède. Évidemment, les bit setuid sont très pratiques mais provoquent souvent des failles importantes dans le système. L'exemple le plus flagrant étant celui d'une commande comme <code>halt</code> qui n'est habituellement utilisable que par root mais qui est bien pratique pour l'utilisateur de la machine. Mettre le bit setuid sur la commande <code>halt</code> permettra à n'importe quel utilisateur de stopper la machine... Si un attaquant arrive sur votre machine via un compte crée à la va vite, il peut provoquer l'arrêt inconditionnel de votre machine même si vous êtes en train de travailler dessus.

En fait, si c'est votre propre machine, ce que vous désireriez, c'est simplement donner à l'utilisateur principal le droit de faire cela (sans avoir à passer root) et non pas à TOUS les utilisateurs à la fois. Un programme nommé <code>sudo</code> permet de gérer les autorisations de ce type (exécution ou accès sur la base de l'utilisateur et non des groupes).

=== Restreindre les failles de votre système ===
==== Mise à jour de votre distribution ====
Toutes les distributions classiques ont un système qui permet la mise à jour automatique de vos logiciels. D'autres ont même des mises à jour spécifiquement orientées sécurité (Debian, RedHat, Mandriva). Si votre machine est importante n'hésitez pas à le faire souvent.

==== Fermer les services inutiles ====
Apprenez à gérer vos [http://lea-linux.org/cached/index/Admin-admin_boot-daemons.html services].

=== Firewalls et IDS réseaux ===
==== Configuration minimale de Netfilter ====
Une fois limité les ports réseau attendant des connexions, il faut mettre en place un firewall filtrant grâce à iptables (ou autre). Netfilter est le nom de la couche du noyau qui permet de filtrer tout ce qui passe par les interfaces réseau, tandis que iptables est une interface permettant de piloter Netfilter. Ne pas confondre, donc.
Des articles ont déjà été écrits à ce propos :
* [[Reseau-secu-iptables|iptables par l'exemple]]
* [[Reseau-secu-murdefeu|Mur de feu pas à pas]]
* [[Leapro-pro_reseau-qos|QoS via iptables]]

De manière très succincte, il faut fermer tous les ports puis ouvrir ceux dont on a besoin : le port 80 (et le 443 pour du https) doit être ouvert si l'on a un serveur web, le port 110 si l'on a un serveur pop dont on veut qu'il soit accessible d'internet, etc.

Voici un bon script de base qu'on peut adapter :
<code>#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel <kernel@trustonme.net>
# Modifié par merlin8282 (je ne sais plus où j'ai pioché l'original mais il y ressemble encore vraiment beaucoup).
# this script is free software according to the GNU General Public License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT ###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET ###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans la suite.
# (Remplacer ppp0 en fonction de votre configuration)
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les connections peuvent continuer
# et faire des petits :
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT

# On termine en indiquant que les connections appartenant à "local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE #############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

############################### LE MASQUERADING #########################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
#echo "[Mise en place du masquerading]"
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

########################### ACTIVATION DE LA PASSERELLE ##################

#echo "[Activation de la passerelle]"
#echo 1 > /proc/sys/net/ipv4/ip_forward

############################## PAS DE SPOOFING ##########################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

############################### PAS DE PING ############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections - QoS ############

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput

############################ Fonctionnalités serveurs #####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache, proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

#echo "[autorisation du serveur http(80) ...]"
#iptables -A INPUT -p tcp --dport www -j ACCEPT

#echo "[autorisation du serveur https(443) ...]"
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

#echo "[autorisation du serveur aMule (4662/tcp) ...]"
#iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

#echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
#iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac</code>
Ce script est à mettre généralement dans un fichier du dossier <code>/etc/init.d/</code> .

==== Configuration minimale de Snort ====
Voir : [http://lea-linux.org/cached/index/Reseau-secu-SNORT.html Installation de SNORT] (doc Lea).

=== Sauvegardes et IDS systèmes ===
==== Mettre en place un système de sauvegarde ====
Le mieux est encore de lire une [http://lea-linux.org/nocache/index/Catégorie:Trucs_Sauvegarde.html# documentation correcte à ce sujet], en l'occurence [http://lea-linux.org/nocache/index/Les_sauvegardes.html cet article].

==== Configuration minimale de Tripwire ====

== Détecter les intrusions, connaître les outils ==
=== Les symptômes ===

# Votre système a un comportement étrange ou inhabituel.
# Un des comptes a été utilisé ou des fichiers ont été modifiés à l'insu de son propriétaire légitime.
# Un programme ou un utilisateur inconnu se balade sur votre système.
# L'un de vos IDS vous signale une trace très probablement dûe à une attaque (attention aux faux positifs) ou une corruption anormale de votre système de fichiers.
# Des outils d'audit révèlent des anomalies sur votre système.

=== who ===
La commande <code>who</code> ou <code>w</code> permet de voir les utilisateurs actuellement connectés (loggés) au système. Attention cependant car un agresseur peut être -- et l'est certainement si c'est le cas -- connecté sous votre nom, s'il est parvenu à s'immiscer dans votre système.

=== ps ===
La commande <code>ps</code> liste tous les processus actuellement en cours d'exécution sur le système. S'il en est un que vous ne connaissez pas, identifiez-le. Si vous ne savez toujours pas ce que c'est, pas d'affollement : utilisez la commande <code>lsof</code> et voyez si vous trouvez des fichiers en rapport avec ce processus. Vous pouvez alors identifier le processus et déterminer si c'est un processus "inoffensif". Si ce n'est pas le cas, vous pouvez supprimer les fichiers qu'il faut. Attention toutefois à bien être certain que ce soit un logiciel malveillant que vous supprimez ! En revanche, si c'est un logiciel qui s'est fait infecter (par exemple apache) il suffit de réinstaller celui-ci, après avoir vidé le cache des paquets de votre gestionnaire de packages. Vérifiez aussi la configuration après réinstallation. Nul besoin de redémarrer, sauf si évidemment c'est le noyau qui est corrompu, chose qui est à mon avis très rare.

=== netstat ===
La commande <code>netstat</code> est une commande qui liste toutes les connexions réseau actives sur votre machine ainsi que l'état dans lequel elles sont (listening, connected, established, etc.) :
<code>Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 0.0.0.0:3129 0.0.0.0:* LISTEN
tcp6 0 0 :::443 :::* LISTEN</code>
On voit ici par exemple que le port 3129 écoute (LISTEN) sur la machine locale (0.0.0.0) et que le port 443 en fait de même.
Vérifiez les connexions actives, les ports ouverts, et faites le lien avec vos démons et autres programmes qui tournent. Si un port ne vous dit rien, informez-vous.

=== lsof ===
La commande <code>lsof</code> liste tous les fichiers ouverts actuellement. Elle indique aussi quel utilisateur utilise quel fichier.
<code>COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root mem REG 3,65 31432 1720343 /sbin/init
apache2 597 root mem REG 3,65 385484 25423 /usr/sbin/apache2</code>
Les informations parlent d'elle-mêmes. Ce sont deux cas précis parce-que le processus <code>init</code> a le fichier <code>/sbin/init</code> d'ouvert (de même pour apache).

=== fcheck ===
C'est un utilitaire qui notifie l'administrateur en cas de modification de fichiers. On précise dans le fichier de configuration quels fichiers ou dossiers on veut surveiller et un mail est envoyé en cas de changement.

=== logcheck ===
<code>logcheck</code> est un outil qui scrute les logs, en fait un résumé et envoie un courriel à l'administrateur (généralement root en local) régulièrement. Evidemment, il est possible de configurer le niveau de ce qui est rapporté.

=== chkrootkit ===
C'est un logiciel important, puisqu'il détecte la présence de rootkits. Son principe de fonctionnement est l'écoute des ports réseau. Relativement souvent, cependant, des logiciels tels les clients peer2peer sont détectés comme une menace, bien qu'ils soient inoffensifs. En effet, ils utilisent des ports qui ne sont pas "officiellement" connus (contrairement au port 80, par exemple, qui est celui de tout serveur web). Donc pas d'affolement.

== Récupération d'une machine corrompue ==

==== Règles d'urgence ====
Que faut-il faire avant toute chose ? Comment réagir ? Comment se prémunir d'autres attaques ?

# Mettre la machine hors-ligne (débranchez simplement la prise réseau)
# Faites une sauvegarde '''complète''' du système sur des supports qui seront mis en lieu sûr (cette image du système servira à l'analyse post-mortem).
# Redémarrez à partir d'une image sûre de votre système, restaurez les données. Dans l'idéal, réinstallez complètement votre système (si possible).
# Changez tous les mots de passe.
# Faites une mise à jour '''complète''' de la distribution (installez éventuellement quelques contre-mesures supplémentaires).
# Remettez-la en ligne (en la surveillant plus attentivement que d'habitude, les pirates reviennent souvent sur les machines qu'ils ont réussi à pirater).

Une fois ceci fait, rien ne vous dit que la ou les failles utilisées par les pirates ont disparues. Il vous faut donc procéder à l'analyse post-mortem de l'image de votre système pour déterminer quelle méthode ont utilisé les pirates pour compromettre votre ordinateur et vérifier que la ou les failles ont bien disparues sur votre système actuel.

==== Analyse Post-mortem ====
==== À qui signaler les intrusions et comment réagir face à la loi ? ====

== Voir aussi ==
* [http://fr.wikipedia.org/wiki/Cat%C3%A9gorie:Logiciel_de_s%C3%A9curit%C3%A9_informatique Wikipédia : Catégorie:Logiciel de sécurité informatique]
* [http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_informatique Wikipédia : Sécurité des systèmes d'information]
* [http://fr.wikipedia.org/wiki/Risques_en_s%C3%A9curit%C3%A9_informatique Wikipédia : Risques en sécurité informatique]
* [http://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html Une excellente documentation concernant la sécurisation de la distribution Debian GNU/Linux]

== Conclusion ==
Même si l'on connaît les risques, il est toujours impératif de rester sur ses gardes. De nouvelles menaces apparaissent régulièrement, de nouvelles failles sont découvertes chaque jour, de nouveaux virus aussi, etc. L'avenir nous dira si un jour on aura des ordinateurs sûrs à 100%, chose qui n'est pas impossible mais cependant improbable.

{{Copy|2006|[[Utilisateur:Merlin8282|Merlin8282]], [[Utilisateur:Fleury|Fleury]]|CC-BY-SA}}

Tenir compte de la sécurité au quotidien

2006-11-27T20:16:15Z

Jmelyn : /* Ingénierie sociale */

[[Category:Fiche sécurité]]
<div class="leapar">Par [[Utilisateur:Merlin8282|merlin8282]] et [[Utilisateur:Fleury|Fleury]].</div>
== Introduction ==
Un ordinateur n'est jamais en sécurité, quand bien même on croit qu'il l'est. Un dicton informatique dit d'ailleurs que l'ordinateur le plus sûr est celui qui est éteint. Cet article est là pour vous faire découvrir les différents risques que l'on court en ayant un ordinateur connecté à un réseau, ainsi que les bonnes habitudes à prendre afin de sécuriser sa machine personnelle (nous ne parlerons pas de la sécurisation de serveur en production). Enfin nous aborderons les différents moyens d'analyse post-mortem d'une machine après une attaque et comment la nettoyer avant de la remettre en ligne.

Pour tout le document (et de manière générale), il est évidemment conseillé de lire les pages de manuel des commandes avant de poser des questions.
Lisez aussi les articles connexes en cliquant sur les hyperliens dans le texte car dans ce document je ne m'étale justement pas sur les sujets pour lesquels il existe déjà un article.

Pour lire ce document, il est aussi important d'être à l'aise avec les concepts essentiels de [http://fr.wikipedia.org/wiki/Linux Linux]. Cela permettra d'une part de mieux comprendre ce que vous faîtes et d'autre part de mieux réagir en cas d'attaque, donc, documentez vous sur ce système et son langage de commande ([[Admin-admin_env-shell|shell]]). Lisez aussi la documentation expliquant ce que sont [[Admin-admin_boot-daemons|les daemons et comment ils fonctionnent]], comment fonctionne un réseau, comment gérer les permissions des fichiers, et tout ce qui pourrait être relatif à l'administration Linux. Plus vous en saurez à propos de Linux mieux vous serez armé pour démarrer avec ce document.

== Petit survol de la sécurité informatique ==
La sécurité informatique est un domaine que l'on pourrait séparer en trois parties. La première s'occupe de la sécurité des données, c'est la cryptologie, la plus connue et la plus théorique des trois. La seconde s'occupe de la sécurité des protocoles, elle comprend notamment la sécurité réseau. Enfin, la dernière et la moins connue des trois est la sécurité logicielle, elle s'occupe notamment des failles du genre débordement de tampon (buffer-overflow) et autres (format string, integer overflow, etc).

Dans ce petit survol des risques potentiels en matière de sécurité informatique nous aborderons la sécurité réseau et la sécurité logicielle. La cryptologie ne sera pas abordée car c'est une science très complexe et de toute façon inaccessible au simple utilisateur. Pour finir nous aborderons l'ingénierie sociale qui reste inclassable mais qui est un risque non négligeable.

=== La sécurité réseau ===
Le but de la sécurité réseau est de connaître les forces et les faiblesses des protocoles. Du point de vue de l'attaquant, on se posera des questions comme: ''Comment abuser un firewall ? Comment tirer un maximum d'informations d'un serveur ? Comment aveugler un système de détection d'intrusion ?'' Du point de vue du défenseur, les questions qui se posent sont surtout comment détecter les comportements réseaux anormaux et empêcher (ou au moins réagir face à) une attaque.

Un certain nombre de mots clefs sont associés à la sécurité réseau. Ainsi on parle de firewalls, d'IDS, d'IPS, de scanneurs réseaux, de sniffeurs et autres. Nous allons ici définir quelques-uns de ces mots.

==== Firewalls ====
Pour le définir de manière concise, un firewall (pare-feu) est un filtre réseau qui va pouvoir stopper certains paquets réseau. Suivant le type de trafic qu'ils analysent et à quel niveau ils se placent sur la couche OSI on va parler de plusieurs types de firewalls:

* '''Stateless firewall''': Ce firewall est le plus basique, il ne fait que regarder les paquets réseau un par un et les accepte ou les rejette uniquement sur la base de son fichier de configuration.

* '''Stateful firewall''': Aussi appelé ''connection tracking firewall'', ce firewall permet de tirer parti d'une connaissance du protocole (TCP par exemple). Il garde en mémoire les connections qui sont en cours et l'état dans lequel elles sont (en cours d'établissement, établie, en train d'être achevées, etc). L'avantage de ce firewall est qu'il permet une configuration plus fine avec moins de lignes mais son inconvénient est qu'il utilise un peu de mémoire pour chaque connexion et qu'il est susceptible de se faire saturer (Déni de service).

* '''Firewall applicatif''': Il en existe plusieurs sortes : les proxy, les filtres de contenu (clamav), etc. sont tous des firewalls applicatifs. Contrairement aux firewalls précédents qui résident habituellement dans le noyau, les firewalls applicatifs sont habituellement basés dans l'espace utilisateur. Ces firewalls servent le plus souvent de relais avec éventuellement un contrôle sur le contenu de ce qui transite (quoique le plus souvent les proxy web ne contrôlent pas le contenu des requêtes même s'ils le pourraient).

Sous Linux, le firewall par défaut est [http://www.netfilter.org/ Netfilter], il possède la capacité de faire du Stateless et du Stateful pour divers protocoles. Les firewalls applicatifs existent aussi mais ne sont pas gérés par Netfilter. Nous verrons plus loin comment piloter Netfilter à l'aide de iptables.

==== Scanneur réseau ====
Un scanneur réseau est simplement un petit logiciel qui tente d'explorer un réseau ou une machine de façon distante (c'est à dire via le réseau). Pour cette exploration le scanneur va tenter de se connecter à une ou plusieurs machines de façon directe ou indirecte. Il faut bien comprendre que le but premier du scanneur de réseau est de collecter de l'information (présence/abscence de services) sur un réseau ou une machine et uniquement cela. L'usage d'un scanneur est par conséquent légal (sauf si vous avez signé une charte qui dit le contraire) mais collecter beaucoup d'informations sur un réseau peut vous rendre suspect aux yeux de ceux qui le gèrent.

Le plus connu des scanneur est sans conteste [http://www.insecure.org/nmap/ nmap]. Il possède un grand nombre d'options et permet d'extraire beaucoup d'informations sur votre environnement réseau. Pour peu que vous soyez root sur la machine que vous utilisez, vous pouvez tenter le jeu d'options suivant (regardez le manuel pour savoir ce qu'elles font): <code>nmap -F -O -sV <ip_cible></code>

<code>nmap</code> est bien sûr un scanneur réseau ''basique'', il en existe des bien plus avancés qui utilisent nmap comme brique de base mais qui scannent non plus les services réseau mais les vulnérabilités. On peut ainsi citer [http://www.nessus.org/ nessus] qui permet de tester son réseau contre un grand nombre d'attaques.

Lorsqu'un pirate veut s'en prendre à vous, la première chose qu'il fera sera de vous scanner et extraire un maximum d'informations sur votre réseau. Mieux vaut savoir quelles informations vous laissez filtrer à l'extérieur pour connaître vos faiblesses.

==== Sniffeurs ====
Un sniffeur est un petit logiciel qui va se mettre à l'écoute de tous les paquets réseau qui passent à la portée de votre ordinateur. Habituellement votre machine ne va considérer que les paquets qui vous sont addressés mais l'on peut pervertir l'usage habituel et faire en sorte que votre machine vous permette d'accéder aussi aux paquets qui ne vous sont pas adressés. On appelle cela le mode ''promiscuous'' pour les cartes ethernet et le mode ''monitor'' pour les cartes wifi.

Les sniffeurs sont largement utilisés à la fois par les pirates et par les ingénieurs systèmes. Les pirates les utilisent essentiellement pour récupérer des informations sur un réseau ou même plus. En effet, lorsqu'ils ont compromis une machine de votre réseau, il peuvent laisser tourner de façon cachée un de ces sniffeurs qui va collecter des informations qui transitent par la carte réseau de la machine piratée. Par exemple, tous les mots de passe en clair peuvent être récupérés à moindre frais. D'un autre coté, les administrateurs réseaux ont aussi un grand usage des sniffeurs, ils servent le plus souvent de débogueur réseau mais aussi d'espion pour essayer d'identifier des comportements sur le réseau qui ne seraient pas normal ou qui laisseraient supposer à une attaque (voir les IDS plus loin).

Il existe un très grand nombre de sniffeurs réseau, les deux plus connus sont sans doute [http://www.wireshark.org wireshark] (ex-[http://www.ethereal.com/ ethereal]) et [http://www.tcpdump.org tcpdump]. D'autres sont plus spécialisés comme par exemple [http://lcamtuf.coredump.cx/p0f.shtml p0f] (sniffeur passif de détection d'OS), [http://www.monkey.org/~dugsong/dsniff/ dsniff] (sniffeur de mots de passe) ou encore [http://www.kismetwireless.net/ kismet] (sniffeur wifi).

==== IDS, IPS et honeypots ====
Pour finir ce petit tour de la sécurité réseau nous allons faire un tour du coté des armes auxquelles vous avez accès pour vous défendre.

Pour faire court, les IDS (Intrusion Detection Systems) sont des sondes qui espionnent votre réseau et enregistrent les phénomènes bizarres ou qui pourraient ressembler à des attaques potentielles. Le rôle d'un IDS n'est pas de prévenir des attaques mais vraiment de jouer un rôle similaire à celui de la boîte noire d'un avion après une catastrophe afin de savoir ce qui s'est passé et éventuellement collecter des preuves contre les attaquants.

Il y a trois types d'IDS :
* les '''IDS réseaux''' du genre [http://www.snort.org snort] qui s'assurent de l'intégrité d'un réseau par une analyse du trafic qu'il y a dessus,
* les '''IDS systèmes''' du genre [http://sourceforge.net/projects/tripwire/ tripwire] qui s'assurent de l'intégrité d'un système en stockant un [http://fr.wikipedia.org/wiki/Cyclic_redundancy_check CRC] des principaux fichiers de configuration et des binaires pour s'assurer qu'ils n'ont pas été corrompu,
* les '''IDS hybrides''' qui tentent de rassembler les deux précédents, du genre [http://www.prelude-ids.org/ prelude-IDS].

Les IPS (Intrusion Prevention Systems) sont à peine différents des IDS puisqu'en cas de détection d'une attaque probable, alors que l'IDS se contente d'enregistrer les logs, l'IPS tente de contrer l'attaque en réagissant.

Enfin, les [http://fr.wikipedia.org/wiki/Honeypot honeypots] (pots de miel) sont des simulations de machines faibles. La constatation est simple, les pirates s'attaquent logiquement toujours au point le plus faible de votre réseau. Avoir des points faibles factices et bardés d'alarmes discrètes vous permet non seulement de détourner momentanément les pirates des vraies machines et de les freiner mais aussi de détecter plus facilement les intrus qui se laissent prendre au piège.

Voila, nous avons fait un (très) rapide tour des mots clefs importants en matière de sécurité réseau. Nous allons à présent quitter le réseau et nous intéresser de plus près à ce qui se passe sur vos serveurs et vos machines.

=== La sécurité logicielle ===
Lorsque les pirates n'en ont pas après ce qui circule sur votre réseau, c'est qu'ils tentent de pénétrer une (ou plusieurs) machine(s) et c'est là que commence la sécurité logicielle...

Contrairement à ce que vous pourriez croire, la plupart du temps, les attaques que subi votre ordinateur ne sont pas dûes à des humains mais plutôt à des logiciels automatiques. Les failles listées dans la catégorie ''sécurité logicielle'' sont donc exploitées le plus souvent par des logiciels ''malveillants'' ([http://fr.wikipedia.org/wiki/Logiciel_malveillant malware] en anglais). Ces logiciels peuvent être des ''virus'', des ''vers'', des ''chevaux de Troie'' ou encore des ''rootkits'' mais ils ont tous en commun d'exploiter des failles classiques ou de rendre les systèmes sur lesquels ils résident plus faibles face à des attaquants extérieurs. Nous allons ici lister ces malware et tenter d'en donner une définition succinte.

==== Virii et Vers ====
Un virus est un petit programme qui a la particularité de se reproduire et de se propager d'un système à l'autre suivant certains vecteurs. Cela peut être les mails ou même l'utilisateur lui-même qui va copier le logiciel sur d'autres systèmes. Les vers sont une sorte particulière de virus qui se propagent uniquement via le réseau Internet (l'un des plus célèbre fut Blaster en 2003 qui visait essentiellement des systèmes Microsoft Windows). Certains virus fonctionnent et infectent les systèmes linux, mais leur nombre est plus réduit que ceux qui attaquent les systèmes Windows. Grâce à la rareté de ces virus et à la réactivité de la communauté libre face aux nouvelles failles découvertes, ce genre de malware ne se propage que très difficilement sur les systèmes Linux, et par conséquent Unix.

Il est à signaler que le terme de ''virus'' n'est pas anodin, l'application des patchs de sécurité (l'équivalent d'un vaccin pour reprendre l'analogie biologique) pendant une attaque virale revient réellement à enrayer une épidémie. Ne pas ''vacciner'' votre PC pendant une épidémie virale revient presque exactement au même que refuser de vous vacciner contre la grippe en pleine épidémie (avec la différence que la propagation des virii informatiques est environs cent à mille fois plus rapide qu'avec les virii biologiques). Non seulement vous vous exposez au virus mais en plus vous créez un nouveau foyer d'infection qui va permettre au virus de se propager encore un peu plus. Il faut donc être vigilant et appliquer régulièrement les correctifs de sécurité de votre système pour ne pas s'exposer à des virii, qui pourraient alors s'infiltrer facilement via les failles que vous auriez laissé béantes.

==== Chevaux de Troie ====
Les chevaux de Troie sont des logiciels qui tentent d'abuser l'utilisateur en se faisant passer pour autre chose que ce qu'ils sont réellement (un jeu, un petit utilitaire, ou encore une commande classique comme <code>ssh</code>, etc). Ces logiciels semblent fonctionner exactement comme ils devraient mais peuvent accomplir des actions malveillantes contre votre système. Par exemple, si la commande <code>login</code> a été remplacée, on pourrait imaginer qu'un login particulier permette de se connecter en root de façon distante en plus de remplir sa tâche normalement. S'il s'agissait de la commande <code>ssh</code>, on pourrait effectuer une sauvegarde de toutes machines, les logins et les machines, les clefs privées, etc qui passent à travers cette commande (et même les envoyer vers un dépot quelque part sur l'Internet). Enfin, on peut imaginer un logiciel de jeu qui tous les vendredi 13 se mette à effacer le contenu de votre compte.

Les chevaux de Troie peuvent être aussi un vecteur de propagation pour les virus comme le célèbre ver "I love you" qui se propageait par mail ou aussi être contenu dans un virus qui va l'installer sur le système qu'il a infecté avant de tenter de se propager vers d'autres systèmes.

==== Rootkits ====
Enfin, les [http://fr.wikipedia.org/wiki/Rootkit rootkits] sont des logiciels qui facilitent l'accès réseau discret des pirates sur le système. Leur nom vient du fait qu'ils permettent aux pirates d'accéder au système infecté avec des droits équivalents (ou même supérieurs) au root. À l'origine ces rootkits étaient un ensemble de chevaux de Troie mimant les commandes classiques du système (<code>ps</code>, <code>login</code>, <code>ls</code>, etc). De nos jours, les rootkits sont quasi-essentiellement des kernel-rootkits, c'est à dire qu'ils se branchent directement sur le noyau pour modifier les informations que pourraient lire les utilisateurs du système. Ce dernier type de rootkit permet aux pirates une réelle invisibilité du point de vue des autres utilisateurs (y compris du root). Vous l'aurez compris, ces rootkits sont très difficiles à repérer avec des moyens standards et compromettent très profondément votre système. C'est pour cela qu'il n'est jamais mauvais d'installer et de lancer régulièrement des logiciels du type [http://www.chkrootkit.org/ chkrootkit], qui vérifient la présence de rootkits.

==== Attention aux mélanges !!! ====
Évidemment, tous ces malwares peuvent se combiner entre eux pour former des combinaisons souvent difficiles à contrer. On peut citer l'exemple du vers 1i0n ([http://www.cert.org/incident_notes/IN-2001-03.html rapport CERT], Mars 2001) qui ciblait essentiellement des failles sur les systèmes Unix faisant tourner un serveur BIND et qui installait le rootkit ''erkms'' avant de continuer à se propager. Ce malware combinait à la fois un ver et un rootkit lui-même composé d'un certain nombre de chevaux de Troie.

=== Ingénierie sociale ===
Une dernière technique de piratage existe. Et bien qu'elle soit inclassable du point de vue technique, c'est probablement la plus efficace.

Souvent, si le pirate est humain, c'est un ''insider'' (quelqu'un de l'intérieur), ou quelqu'un qui peut avoir un accès physique aux machines (stagiaire, agent d'entretien, ou simplement qui connaît votre numéro de téléphone ou votre adresse e-mail). Dans ces conditions, il aura simplement recours à de l'[http://fr.wikipedia.org/wiki/Ingénierie_sociale ingénierie sociale]. Cette méthode consiste à profiter de la crédulité des gens qui souvent écrivent leurs mots de passe sur un bout de papier et les laissent à proximité de l'ordinateur. D'autres victimes sont par exemple appelées par téléphone ou contactées via e-mail par l'attaquant qui se fait alors passer pour l'agent d'un service technique quelconque, il prétend avoir besoin de leur mot de passe pour faire des tests.

Cela peut paraître trivial mais c'est la technique qui donne le plus de résultats avec le moins d'investissement en temps et en connaissance. [http://fr.wikipedia.org/wiki/Kevin_Mitnick Kevin Mitnick], un des rois du piratage était passé maître dans ce type d'attaques. Il avait un aplomb et un génie de l'improvisation alliés à des connaissances techniques hors du commun qui lui ont permis de réaliser des miracles (du mauvais côté de la loi, hélas).

Se prémunir contre ce genre d'attaques est simple: Ne confiez vos mots de passe à personne et méfiez-vous lorsqu'on vous les demande.

== Sécuriser sa machine ==
[http://fr.wikipedia.org/wiki/Bruce_Schneier Bruce Schneier], un des pontes de la sécurité informatique, a dit un jour: "''La sécurité n'est pas un produit, c'est un processus''" (''Security is not a product, it's a process''). L'idée que vous pourriez sécuriser votre machine une bonne fois pour toute lors de l'installation et ne plus y toucher ensuite n'est tout simplement pas envisageable. Tout comme les virii biologiques qui mutent pour contourner les défenses immunitaires de leurs hôtes et pouvoir survivre, les pirates inventent constamment de nouvelles techniques ou se servent de failles inédites et produisent des malwares qui pourront contourner des défenses qui étaient parfaitement sûres quelques semaines auparavant. Maintenir une défense contre les agressions des pirates est une veille constante de l'état de votre machine. Évidemment, sans sombrer dans la paranoïa, il va vous falloir accorder une attention à la sécurité de votre machine qui est proportionnelle à la valeur que vous accordez à ce qu'elle protège.

Cette section essaye de donner quelques conseils pour rendre votre machine plus sûre en vous donnant les moyens de résister à la plupart des attaques. '''Attention''', même si vous suivez tous ces conseils votre machine ne sera pas invulnérable, elle sera seulement plus difficile d'accès (ce qui décourage déjà 99% des malwares et des attaquants).

=== Les 10 règles d'or en sécurité ===
Il existe certaines règles qui permettent de se prémunir contre la plupart des attaques. Certaines sont simples et faciles à mettre en œuvre, d'autres sont plus complexes. Voici une liste (non exhaustive) de dix règles à suivre pour sécuriser votre ordinateur. Ces règles sont classées dans un ordre de difficulté croissant. Suivre les règles les plus simples est '''indispensable''' alors que les plus complexes permettent de sécuriser un peu plus votre machine mais ne sont pas forcément aussi importantes. Le mieux est de s'arrêter à l'endroit de la liste qui vous semble trop obscur. Une mesure de protection mal configurée étant souvent pire qu'une absence de protection.

# '''Attention à vos mots de passe''' (choisissez les bien et ne les confiez pas à des inconnu(e)s)
# '''Préférez les protocoles chiffrés''' (préférez ssh à telnet, scp à ftp, pop+ssl à pop, ...)
# '''N'executez et/ou installez pas n'importe quoi''' (attention aux chevaux de Troie)
# '''Passez root le moins souvent possible''' (root a beaucoup de droits et cela peut se retourner contre vous)
# '''Appliquez le principe du privilège minimum''' (Ne donnez un droit que s'il est nécessaire)
# '''Minimisez vos services''' (Si c'est inutile alors c'est dangereux)
# '''Mettez votre distribution à jour''' (Appliquez les correctifs de sécurité aussi souvent que possible)
# '''Filtrez et surveillez votre trafic réseau''' (Activez le firewall et éventuellement un IDS)
# '''Gardez un œil sur vos données''' (Sauvegardez-les et utilisez des logiciels comme tripwire)
# '''Renforcez votre noyau''' (Ajoutez des modules de sécurité optionnels: SELinux, ASLR, ...)

Une fois ces dix règles édictées, nous allons creuser celles qui valent la peine de l'être.

=== Un bon mot de passe, c'est quoi ? ===
Votre mot de passe est la clef de voûte de votre sécurité, il est extrêmement important de le choisir correctement... mais aussi de le mémoriser facilement.

Pour commencer, un ''mauvais'' mot de passe est un mot de passe pour lequel vous pouvez répondre "oui" à l'une des 7 questions suivantes:

# Avez vous écrit sur un bout de papier votre mot de passe ?
# Votre mot de passe est-il un mot commun que l'on peut trouver dans le dictionnaire ?
# Votre mot de passe est-il un mot commun suivi de 2 chiffres ?
# Votre mot de passe est-il un nom de personne, de lieu ou d'animal ?
# Quelqu'un d'autre connait-il votre mot de passe ?
# Utilisez vous le meme mot de passe pour plusieurs comptes et pour une longue période ?
# Utilisez vous le mot de passe par défaut du constructeur ou de l'éditeur ?

Si vous vous trouvez dans la situation de générer un nouveau mot de passe, voici une technique simple mais qui a fait ses preuves:

# Choisissez un mot ou une phrase qui a un sens pour vous (mais qui reste obscur aux yeux des autres). Par exemple votre personnage préféré dans une pièce, l'animal que vous aviez pendant votre enfance, etc... Notre exemple pour la suite sera "'''mot de passe'''"
# Enlevez les espaces et le remplacez caractères non ASCII (difficile de trouver l'accent sur un clavier QWERTY-us si vous êtes en déplacement). Par exemple: "'''motdepasse'''"
# Substituez les lettres qui s'y prêtent par des nombres. Par exemple: "'''m0tdep4ss3'''"
# Mettez en majuscule certaines lettres. Par exemple: "'''m0TDep4SS3'''"
# Ajoutez des nombres en fin du mot de passe. Par exemple: "'''m0TDep4SS301'''"
# Ajoutez un ou plusieurs caractères qui ne sont ni des lettres, ni des nombres. Par exemple: "'''m0T'De'p4SS3#01'''"

Et voilà, vous avez un beau mot de passe difficilement reconaissable mais mémorisable.

Enfin, si vous n'avez toujours pas confiance dans votre mot de passe, il existe un certain nombre de logiciels de crackage de mots de passe qui peuvent tourner en tâche de fond et vous indiquer quand il est temps de changer de mot de passe. [http://www.openwall.com/john/ John The Ripper] est sans doute le plus célèbre de ces logiciels (un paquetage doit exister pour votre distribution).

=== Politique de restriction des privilèges ===
Comme nous l'avons dit plus haut, accorder des privilèges non nécessaires à des utilisateurs ou des programmes peut s'avérer très dangereux si l'attaquant prend leur contrôle. Il pourra profiter de ces privilèges supplémentaires et les exploiter comme des failles de votre système.

==== Principe du privilège minimum ====
Le principe du privilège minimum est apparu au milieu des années 70 et sa formulation originale était la suivante: "'''Chaque programme et chaque utilisateur du système devrait opérer en utilisant le plus petit nombre de privilèges possible pour accomplir sa tâche.'''"

Sous Linux, le [http://lea-linux.org/cached/index/Permissions.html modèle des privilèges] de base identifie des objets (les fichiers), des actions (read, write, execute) et des acteurs (les utilisateurs et les groupes). Le type de contrôle que l'on peut exercer sur les privilèges est donné par le modèle du ''Discretionary Access Control'' (DAC) qui veut qu'une fois un utilisateur authentifié il ait tous les droits sur tous les objets qu'il possède.

Pour appliquer le principe du privilège minimum, il faut vous demander si chaque objet qui vous appartient a vraiment besoin d'être ouvert en lecture, écriture ou encore exécution. Si ce n'est pas le cas, supprimez ce droit. Par exemple, pourquoi laisser les autres utilisateurs avoir accès à votre compte en lecture ? C'est certes plus pratiques de temps en temps, mais si vous n'y prêtez pas attention, un attaquant pourrait s'infiltrer dans votre compte et voler des informations que vous ne voudriez pas voir partir. Le mieux est donc de mettre votre <code>umask</code> à <code>700</code> et de restreindre ainsi l'accès à votre compte.

'''Note''': D'autres modèles de contrôle existent, notamment de le ''Mandatory Access Control'' (MAC) implémenté par SELinux et d'autres (''Role-Based Access Control'', RBAC).

==== Bit setuid et sudo, avantages et inconvénients ====
Le bit setuid permet d'exécuter un binaire avec les droits, non pas de celui qui lance le programme, mais de celui qui le possède. Évidemment, les bit setuid sont très pratiques mais provoquent souvent des failles importantes dans le système. L'exemple le plus flagrant étant celui d'une commande comme <code>halt</code> qui n'est habituellement utilisable que par root mais qui est bien pratique pour l'utilisateur de la machine. Mettre le bit setuid sur la commande <code>halt</code> permettra à n'importe quel utilisateur de stopper la machine... Si un attaquant arrive sur votre machine via un compte crée à la va vite, il peut provoquer l'arrêt inconditionnel de votre machine même si vous êtes en train de travailler dessus.

En fait, si c'est votre propre machine, ce que vous désireriez, c'est simplement donner à l'utilisateur principal le droit de faire cela (sans avoir à passer root) et non pas à TOUS les utilisateurs à la fois. Un programme nommé <code>sudo</code> permet de gérer les autorisations de ce type (exécution ou accès sur la base de l'utilisateur et non des groupes).

=== Restreindre les failles de votre système ===
==== Mise à jour de votre distribution ====
Toutes les distributions classiques ont un système qui permet la mise à jour automatique de vos logiciels. D'autres ont même des mises à jour spécifiquement orientées sécurité (Debian, RedHat, Mandriva). Si votre machine est importante n'hésitez pas à le faire souvent.

==== Fermer les services inutiles ====
Apprenez à gérer vos [http://lea-linux.org/cached/index/Admin-admin_boot-daemons.html services].

=== Firewalls et IDS réseaux ===
==== Configuration minimale de Netfilter ====
Une fois limité les ports réseau attendant des connexions, il faut mettre en place un firewall filtrant grâce à iptables (ou autre). Netfilter est le nom de la couche du noyau qui permet de filtrer tout ce qui passe par les interfaces réseau, tandis que iptables est une interface permettant de piloter Netfilter. Ne pas confondre, donc.
Des articles ont déjà été écrits à ce propos :
* [[Reseau-secu-iptables|iptables par l'exemple]]
* [[Reseau-secu-murdefeu|Mur de feu pas à pas]]
* [[Leapro-pro_reseau-qos|QoS via iptables]]

De manière très succincte, il faut fermer tous les ports puis ouvrir ceux dont on a besoin : le port 80 (et le 443 pour du https) doit être ouvert si l'on a un serveur web, le port 110 si l'on a un serveur pop dont on veut qu'il soit accessible d'internet, etc.

Voici un bon script de base qu'on peut adapter :
<code>#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel <kernel@trustonme.net>
# Modifié par merlin8282 (je ne sais plus où j'ai pioché l'original mais il y ressemble encore vraiment beaucoup).
# this script is free software according to the GNU General Public License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT ###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET ###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans la suite.
# (Remplacer ppp0 en fonction de votre configuration)
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les connections peuvent continuer
# et faire des petits :
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT

# On termine en indiquant que les connections appartenant à "local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE #############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

############################### LE MASQUERADING #########################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
#echo "[Mise en place du masquerading]"
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

########################### ACTIVATION DE LA PASSERELLE ##################

#echo "[Activation de la passerelle]"
#echo 1 > /proc/sys/net/ipv4/ip_forward

############################## PAS DE SPOOFING ##########################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

############################### PAS DE PING ############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections - QoS ############

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput

############################ Fonctionnalités serveurs #####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache, proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

#echo "[autorisation du serveur http(80) ...]"
#iptables -A INPUT -p tcp --dport www -j ACCEPT

#echo "[autorisation du serveur https(443) ...]"
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

#echo "[autorisation du serveur aMule (4662/tcp) ...]"
#iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

#echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
#iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac</code>
Ce script est à mettre généralement dans un fichier du dossier <code>/etc/init.d/</code> .

==== Configuration minimale de Snort ====
Voir : [http://lea-linux.org/cached/index/Reseau-secu-SNORT.html Installation de SNORT] (doc Lea).

=== Sauvegardes et IDS systèmes ===
==== Mettre en place un système de sauvegarde ====
Le mieux est encore de lire une [http://lea-linux.org/nocache/index/Catégorie:Trucs_Sauvegarde.html# documentation correcte à ce sujet], en l'occurence [http://lea-linux.org/nocache/index/Les_sauvegardes.html cet article].

==== Configuration minimale de Tripwire ====

== Détecter les intrusions, connaître les outils ==
=== Les symptômes ===

# Votre système a un comportement étrange ou inhabituel.
# Un des comptes a été utilisé ou des fichiers ont été modifiés à l'insu de son propriétaire légitime.
# Un programme ou un utilisateur inconnu se balade sur votre système.
# L'un de vos IDS vous signale une trace très probablement dûe à une attaque (attention aux faux positifs) ou une corruption anormale de votre système de fichiers.
# Des outils d'audit révèlent des anomalies sur votre système.

=== who ===
La commande <code>who</code> ou <code>w</code> permet de voir les utilisateurs actuellement connectés (loggés) au système. Attention cependant car un agresseur peut être -- et l'est certainement si c'est le cas -- connecté sous votre nom, s'il est parvenu à s'immiscer dans votre système.

=== ps ===
La commande <code>ps</code> liste tous les processus actuellement en cours d'exécution sur le système. S'il en est un que vous ne connaissez pas, identifiez-le. Si vous ne savez toujours pas ce que c'est, pas d'affollement : utilisez la commande <code>lsof</code> et voyez si vous trouvez des fichiers en rapport avec ce processus. Vous pouvez alors identifier le processus et déterminer si c'est un processus "inoffensif". Si ce n'est pas le cas, vous pouvez supprimer les fichiers qu'il faut. Attention toutefois à bien être certain que ce soit un logiciel malveillant que vous supprimez ! En revanche, si c'est un logiciel qui s'est fait infecter (par exemple apache) il suffit de réinstaller celui-ci, après avoir vidé le cache des paquets de votre gestionnaire de packages. Vérifiez aussi la configuration après réinstallation. Nul besoin de redémarrer, sauf si évidemment c'est le noyau qui est corrompu, chose qui est à mon avis très rare.

=== netstat ===
La commande <code>netstat</code> est une commande qui liste toutes les connexions réseau actives sur votre machine ainsi que l'état dans lequel elles sont (listening, connected, established, etc.) :
<code>Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 0.0.0.0:3129 0.0.0.0:* LISTEN
tcp6 0 0 :::443 :::* LISTEN</code>
On voit ici par exemple que le port 3129 écoute (LISTEN) sur la machine locale (0.0.0.0) et que le port 443 en fait de même.
Vérifiez les connexions actives, les ports ouverts, et faites le lien avec vos démons et autres programmes qui tournent. Si un port ne vous dit rien, informez-vous.

=== lsof ===
La commande <code>lsof</code> liste tous les fichiers ouverts actuellement. Elle indique aussi quel utilisateur utilise quel fichier.
<code>COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root mem REG 3,65 31432 1720343 /sbin/init
apache2 597 root mem REG 3,65 385484 25423 /usr/sbin/apache2</code>
Les informations parlent d'elle-mêmes. Ce sont deux cas précis parce-que le processus <code>init</code> a le fichier <code>/sbin/init</code> d'ouvert (de même pour apache).

=== fcheck ===
C'est un utilitaire qui notifie l'administrateur en cas de modification de fichiers. On précise dans le fichier de configuration quels fichiers ou dossiers on veut surveiller et un mail est envoyé en cas de changement.

=== logcheck ===
<code>logcheck</code> est un outil qui scrute les logs, en fait un résumé et envoie un courriel à l'administrateur (généralement root en local) régulièrement. Evidemment, il est possible de configurer le niveau de ce qui est rapporté.

=== chkrootkit ===
C'est un logiciel important, puisqu'il détecte la présence de rootkits. Son principe de fonctionnement est l'écoute des ports réseau. Relativement souvent, cependant, des logiciels tels les clients peer2peer sont détectés comme une menace, bien qu'ils soient innofensifs. En effet, ils utilisent des ports qui ne sont pas "officiellement" connus (contrairement au port 80, par exemple, qui est celui de tout serveur web). Donc pas d'affollement.

== Récupération d'une machine corrompue ==

==== Règles d'urgence ====
Que faut-il faire avant toute chose ? Comment réagir ? Comment se prémunir d'autres attaques ?

# Mettre la machine hors-ligne (débranchez simplement la prise réseau)
# Faites une sauvegarde '''complète''' du système sur des supports qui seront mis en lieu sûr (cette image du système servira à l'analyse post-mortem).
# Redémarrez à partir d'une image sûre de votre système, restaurez les données. Dans l'idéal, réinstallez complètement votre système (si possible).
# Changez tous les mots de passe.
# Faites une mise à jour '''complète''' de la distribution (installez éventuellement quelques contre-mesures supplémentaires).
# Remettez-la en ligne (en la surveillant plus attentivement que d'habitude, les pirates reviennent souvent sur les machines qu'ils ont réussi à pirater).

Une fois ceci fait, rien ne vous dit que la ou les failles utilisées par les pirates ont disparues. Il vous faut donc procéder à l'analyse post-mortem de l'image de votre système pour déterminer quelle méthode ont utilisé les pirates pour compromettre votre ordinateur et vérifier que la ou les failles ont bien disparues sur votre système actuel.

==== Analyse Post-mortem ====
==== À qui signaler les intrusions et comment réagir face à la loi ? ====

== Voir aussi ==
* [http://fr.wikipedia.org/wiki/Cat%C3%A9gorie:Logiciel_de_s%C3%A9curit%C3%A9_informatique Wikipédia : Catégorie:Logiciel de sécurité informatique]
* [http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_informatique Wikipédia : Sécurité des systèmes d'information]
* [http://fr.wikipedia.org/wiki/Risques_en_s%C3%A9curit%C3%A9_informatique Wikipédia : Risques en sécurité informatique]
* [http://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html Une excellente documentation concernant la sécurisation de la distribution Debian GNU/Linux]

== Conclusion ==
Même si l'on connaît les risques, il est toujours impératif de rester sur ses gardes. De nouvelles menaces apparaissent régulièrement, de nouvelles failles sont découvertes chaque jour, de nouveaux virus aussi, etc. L'avenir nous dira si un jour on aura des ordinateurs sûrs à 100%, chose qui n'est pas impossible mais cependant improbable.

{{Copy|2006|[[Utilisateur:Merlin8282|Merlin8282]], [[Utilisateur:Fleury|Fleury]]|CC-BY-SA}}

Tenir compte de la sécurité au quotidien

2006-11-27T20:05:19Z

Jmelyn : /* Ingénierie sociale */

[[Category:Fiche sécurité]]
<div class="leapar">Par [[Utilisateur:Merlin8282|merlin8282]] et [[Utilisateur:Fleury|Fleury]].</div>
== Introduction ==
Un ordinateur n'est jamais en sécurité, quand bien même on croit qu'il l'est. Un dicton informatique dit d'ailleurs que l'ordinateur le plus sûr est celui qui est éteint. Cet article est là pour vous faire découvrir les différents risques que l'on court en ayant un ordinateur connecté à un réseau, ainsi que les bonnes habitudes à prendre afin de sécuriser sa machine personnelle (nous ne parlerons pas de la sécurisation de serveur en production). Enfin nous aborderons les différents moyens d'analyse post-mortem d'une machine après une attaque et comment la nettoyer avant de la remettre en ligne.

Pour tout le document (et de manière générale), il est évidemment conseillé de lire les pages de manuel des commandes avant de poser des questions.
Lisez aussi les articles connexes en cliquant sur les hyperliens dans le texte car dans ce document je ne m'étale justement pas sur les sujets pour lesquels il existe déjà un article.

Pour lire ce document, il est aussi important d'être à l'aise avec les concepts essentiels de [http://fr.wikipedia.org/wiki/Linux Linux]. Cela permettra d'une part de mieux comprendre ce que vous faîtes et d'autre part de mieux réagir en cas d'attaque, donc, documentez vous sur ce système et son langage de commande ([[Admin-admin_env-shell|shell]]). Lisez aussi la documentation expliquant ce que sont [[Admin-admin_boot-daemons|les daemons et comment ils fonctionnent]], comment fonctionne un réseau, comment gérer les permissions des fichiers, et tout ce qui pourrait être relatif à l'administration Linux. Plus vous en saurez à propos de Linux mieux vous serez armé pour démarrer avec ce document.

== Petit survol de la sécurité informatique ==
La sécurité informatique est un domaine que l'on pourrait séparer en trois parties. La première s'occupe de la sécurité des données, c'est la cryptologie, la plus connue et la plus théorique des trois. La seconde s'occupe de la sécurité des protocoles, elle comprend notamment la sécurité réseau. Enfin, la dernière et la moins connue des trois est la sécurité logicielle, elle s'occupe notamment des failles du genre débordement de tampon (buffer-overflow) et autres (format string, integer overflow, etc).

Dans ce petit survol des risques potentiels en matière de sécurité informatique nous aborderons la sécurité réseau et la sécurité logicielle. La cryptologie ne sera pas abordée car c'est une science très complexe et de toute façon inaccessible au simple utilisateur. Pour finir nous aborderons l'ingénierie sociale qui reste inclassable mais qui est un risque non négligeable.

=== La sécurité réseau ===
Le but de la sécurité réseau est de connaître les forces et les faiblesses des protocoles. Du point de vue de l'attaquant, on se posera des questions comme: ''Comment abuser un firewall ? Comment tirer un maximum d'informations d'un serveur ? Comment aveugler un système de détection d'intrusion ?'' Du point de vue du défenseur, les questions qui se posent sont surtout comment détecter les comportements réseaux anormaux et empêcher (ou au moins réagir face à) une attaque.

Un certain nombre de mots clefs sont associés à la sécurité réseau. Ainsi on parle de firewalls, d'IDS, d'IPS, de scanneurs réseaux, de sniffeurs et autres. Nous allons ici définir quelques-uns de ces mots.

==== Firewalls ====
Pour le définir de manière concise, un firewall (pare-feu) est un filtre réseau qui va pouvoir stopper certains paquets réseau. Suivant le type de trafic qu'ils analysent et à quel niveau ils se placent sur la couche OSI on va parler de plusieurs types de firewalls:

* '''Stateless firewall''': Ce firewall est le plus basique, il ne fait que regarder les paquets réseau un par un et les accepte ou les rejette uniquement sur la base de son fichier de configuration.

* '''Stateful firewall''': Aussi appelé ''connection tracking firewall'', ce firewall permet de tirer parti d'une connaissance du protocole (TCP par exemple). Il garde en mémoire les connections qui sont en cours et l'état dans lequel elles sont (en cours d'établissement, établie, en train d'être achevées, etc). L'avantage de ce firewall est qu'il permet une configuration plus fine avec moins de lignes mais son inconvénient est qu'il utilise un peu de mémoire pour chaque connexion et qu'il est susceptible de se faire saturer (Déni de service).

* '''Firewall applicatif''': Il en existe plusieurs sortes : les proxy, les filtres de contenu (clamav), etc. sont tous des firewalls applicatifs. Contrairement aux firewalls précédents qui résident habituellement dans le noyau, les firewalls applicatifs sont habituellement basés dans l'espace utilisateur. Ces firewalls servent le plus souvent de relais avec éventuellement un contrôle sur le contenu de ce qui transite (quoique le plus souvent les proxy web ne contrôlent pas le contenu des requêtes même s'ils le pourraient).

Sous Linux, le firewall par défaut est [http://www.netfilter.org/ Netfilter], il possède la capacité de faire du Stateless et du Stateful pour divers protocoles. Les firewalls applicatifs existent aussi mais ne sont pas gérés par Netfilter. Nous verrons plus loin comment piloter Netfilter à l'aide de iptables.

==== Scanneur réseau ====
Un scanneur réseau est simplement un petit logiciel qui tente d'explorer un réseau ou une machine de façon distante (c'est à dire via le réseau). Pour cette exploration le scanneur va tenter de se connecter à une ou plusieurs machines de façon directe ou indirecte. Il faut bien comprendre que le but premier du scanneur de réseau est de collecter de l'information (présence/abscence de services) sur un réseau ou une machine et uniquement cela. L'usage d'un scanneur est par conséquent légal (sauf si vous avez signé une charte qui dit le contraire) mais collecter beaucoup d'informations sur un réseau peut vous rendre suspect aux yeux de ceux qui le gèrent.

Le plus connu des scanneur est sans conteste [http://www.insecure.org/nmap/ nmap]. Il possède un grand nombre d'options et permet d'extraire beaucoup d'informations sur votre environnement réseau. Pour peu que vous soyez root sur la machine que vous utilisez, vous pouvez tenter le jeu d'options suivant (regardez le manuel pour savoir ce qu'elles font): <code>nmap -F -O -sV <ip_cible></code>

<code>nmap</code> est bien sûr un scanneur réseau ''basique'', il en existe des bien plus avancés qui utilisent nmap comme brique de base mais qui scannent non plus les services réseau mais les vulnérabilités. On peut ainsi citer [http://www.nessus.org/ nessus] qui permet de tester son réseau contre un grand nombre d'attaques.

Lorsqu'un pirate veut s'en prendre à vous, la première chose qu'il fera sera de vous scanner et extraire un maximum d'informations sur votre réseau. Mieux vaut savoir quelles informations vous laissez filtrer à l'extérieur pour connaître vos faiblesses.

==== Sniffeurs ====
Un sniffeur est un petit logiciel qui va se mettre à l'écoute de tous les paquets réseau qui passent à la portée de votre ordinateur. Habituellement votre machine ne va considérer que les paquets qui vous sont addressés mais l'on peut pervertir l'usage habituel et faire en sorte que votre machine vous permette d'accéder aussi aux paquets qui ne vous sont pas adressés. On appelle cela le mode ''promiscuous'' pour les cartes ethernet et le mode ''monitor'' pour les cartes wifi.

Les sniffeurs sont largement utilisés à la fois par les pirates et par les ingénieurs systèmes. Les pirates les utilisent essentiellement pour récupérer des informations sur un réseau ou même plus. En effet, lorsqu'ils ont compromis une machine de votre réseau, il peuvent laisser tourner de façon cachée un de ces sniffeurs qui va collecter des informations qui transitent par la carte réseau de la machine piratée. Par exemple, tous les mots de passe en clair peuvent être récupérés à moindre frais. D'un autre coté, les administrateurs réseaux ont aussi un grand usage des sniffeurs, ils servent le plus souvent de débogueur réseau mais aussi d'espion pour essayer d'identifier des comportements sur le réseau qui ne seraient pas normal ou qui laisseraient supposer à une attaque (voir les IDS plus loin).

Il existe un très grand nombre de sniffeurs réseau, les deux plus connus sont sans doute [http://www.wireshark.org wireshark] (ex-[http://www.ethereal.com/ ethereal]) et [http://www.tcpdump.org tcpdump]. D'autres sont plus spécialisés comme par exemple [http://lcamtuf.coredump.cx/p0f.shtml p0f] (sniffeur passif de détection d'OS), [http://www.monkey.org/~dugsong/dsniff/ dsniff] (sniffeur de mots de passe) ou encore [http://www.kismetwireless.net/ kismet] (sniffeur wifi).

==== IDS, IPS et honeypots ====
Pour finir ce petit tour de la sécurité réseau nous allons faire un tour du coté des armes auxquelles vous avez accès pour vous défendre.

Pour faire court, les IDS (Intrusion Detection Systems) sont des sondes qui espionnent votre réseau et enregistrent les phénomènes bizarres ou qui pourraient ressembler à des attaques potentielles. Le rôle d'un IDS n'est pas de prévenir des attaques mais vraiment de jouer un rôle similaire à celui de la boîte noire d'un avion après une catastrophe afin de savoir ce qui s'est passé et éventuellement collecter des preuves contre les attaquants.

Il y a trois types d'IDS :
* les '''IDS réseaux''' du genre [http://www.snort.org snort] qui s'assurent de l'intégrité d'un réseau par une analyse du trafic qu'il y a dessus,
* les '''IDS systèmes''' du genre [http://sourceforge.net/projects/tripwire/ tripwire] qui s'assurent de l'intégrité d'un système en stockant un [http://fr.wikipedia.org/wiki/Cyclic_redundancy_check CRC] des principaux fichiers de configuration et des binaires pour s'assurer qu'ils n'ont pas été corrompu,
* les '''IDS hybrides''' qui tentent de rassembler les deux précédents, du genre [http://www.prelude-ids.org/ prelude-IDS].

Les IPS (Intrusion Prevention Systems) sont à peine différents des IDS puisqu'en cas de détection d'une attaque probable, alors que l'IDS se contente d'enregistrer les logs, l'IPS tente de contrer l'attaque en réagissant.

Enfin, les [http://fr.wikipedia.org/wiki/Honeypot honeypots] (pots de miel) sont des simulations de machines faibles. La constatation est simple, les pirates s'attaquent logiquement toujours au point le plus faible de votre réseau. Avoir des points faibles factices et bardés d'alarmes discrètes vous permet non seulement de détourner momentanément les pirates des vraies machines et de les freiner mais aussi de détecter plus facilement les intrus qui se laissent prendre au piège.

Voila, nous avons fait un (très) rapide tour des mots clefs importants en matière de sécurité réseau. Nous allons à présent quitter le réseau et nous intéresser de plus près à ce qui se passe sur vos serveurs et vos machines.

=== La sécurité logicielle ===
Lorsque les pirates n'en ont pas après ce qui circule sur votre réseau, c'est qu'ils tentent de pénétrer une (ou plusieurs) machine(s) et c'est là que commence la sécurité logicielle...

Contrairement à ce que vous pourriez croire, la plupart du temps, les attaques que subi votre ordinateur ne sont pas dûes à des humains mais plutôt à des logiciels automatiques. Les failles listées dans la catégorie ''sécurité logicielle'' sont donc exploitées le plus souvent par des logiciels ''malveillants'' ([http://fr.wikipedia.org/wiki/Logiciel_malveillant malware] en anglais). Ces logiciels peuvent être des ''virus'', des ''vers'', des ''chevaux de Troie'' ou encore des ''rootkits'' mais ils ont tous en commun d'exploiter des failles classiques ou de rendre les systèmes sur lesquels ils résident plus faibles face à des attaquants extérieurs. Nous allons ici lister ces malware et tenter d'en donner une définition succinte.

==== Virii et Vers ====
Un virus est un petit programme qui a la particularité de se reproduire et de se propager d'un système à l'autre suivant certains vecteurs. Cela peut être les mails ou même l'utilisateur lui-même qui va copier le logiciel sur d'autres systèmes. Les vers sont une sorte particulière de virus qui se propagent uniquement via le réseau Internet (l'un des plus célèbre fut Blaster en 2003 qui visait essentiellement des systèmes Microsoft Windows). Certains virus fonctionnent et infectent les systèmes linux, mais leur nombre est plus réduit que ceux qui attaquent les systèmes Windows. Grâce à la rareté de ces virus et à la réactivité de la communauté libre face aux nouvelles failles découvertes, ce genre de malware ne se propage que très difficilement sur les systèmes Linux, et par conséquent Unix.

Il est à signaler que le terme de ''virus'' n'est pas anodin, l'application des patchs de sécurité (l'équivalent d'un vaccin pour reprendre l'analogie biologique) pendant une attaque virale revient réellement à enrayer une épidémie. Ne pas ''vacciner'' votre PC pendant une épidémie virale revient presque exactement au même que refuser de vous vacciner contre la grippe en pleine épidémie (avec la différence que la propagation des virii informatiques est environs cent à mille fois plus rapide qu'avec les virii biologiques). Non seulement vous vous exposez au virus mais en plus vous créez un nouveau foyer d'infection qui va permettre au virus de se propager encore un peu plus. Il faut donc être vigilant et appliquer régulièrement les correctifs de sécurité de votre système pour ne pas s'exposer à des virii, qui pourraient alors s'infiltrer facilement via les failles que vous auriez laissé béantes.

==== Chevaux de Troie ====
Les chevaux de Troie sont des logiciels qui tentent d'abuser l'utilisateur en se faisant passer pour autre chose que ce qu'ils sont réellement (un jeu, un petit utilitaire, ou encore une commande classique comme <code>ssh</code>, etc). Ces logiciels semblent fonctionner exactement comme ils devraient mais peuvent accomplir des actions malveillantes contre votre système. Par exemple, si la commande <code>login</code> a été remplacée, on pourrait imaginer qu'un login particulier permette de se connecter en root de façon distante en plus de remplir sa tâche normalement. S'il s'agissait de la commande <code>ssh</code>, on pourrait effectuer une sauvegarde de toutes machines, les logins et les machines, les clefs privées, etc qui passent à travers cette commande (et même les envoyer vers un dépot quelque part sur l'Internet). Enfin, on peut imaginer un logiciel de jeu qui tous les vendredi 13 se mette à effacer le contenu de votre compte.

Les chevaux de Troie peuvent être aussi un vecteur de propagation pour les virus comme le célèbre ver "I love you" qui se propageait par mail ou aussi être contenu dans un virus qui va l'installer sur le système qu'il a infecté avant de tenter de se propager vers d'autres systèmes.

==== Rootkits ====
Enfin, les [http://fr.wikipedia.org/wiki/Rootkit rootkits] sont des logiciels qui facilitent l'accès réseau discret des pirates sur le système. Leur nom vient du fait qu'ils permettent aux pirates d'accéder au système infecté avec des droits équivalents (ou même supérieurs) au root. À l'origine ces rootkits étaient un ensemble de chevaux de Troie mimant les commandes classiques du système (<code>ps</code>, <code>login</code>, <code>ls</code>, etc). De nos jours, les rootkits sont quasi-essentiellement des kernel-rootkits, c'est à dire qu'ils se branchent directement sur le noyau pour modifier les informations que pourraient lire les utilisateurs du système. Ce dernier type de rootkit permet aux pirates une réelle invisibilité du point de vue des autres utilisateurs (y compris du root). Vous l'aurez compris, ces rootkits sont très difficiles à repérer avec des moyens standards et compromettent très profondément votre système. C'est pour cela qu'il n'est jamais mauvais d'installer et de lancer régulièrement des logiciels du type [http://www.chkrootkit.org/ chkrootkit], qui vérifient la présence de rootkits.

==== Attention aux mélanges !!! ====
Évidemment, tous ces malwares peuvent se combiner entre eux pour former des combinaisons souvent difficiles à contrer. On peut citer l'exemple du vers 1i0n ([http://www.cert.org/incident_notes/IN-2001-03.html rapport CERT], Mars 2001) qui ciblait essentiellement des failles sur les systèmes Unix faisant tourner un serveur BIND et qui installait le rootkit ''erkms'' avant de continuer à se propager. Ce malware combinait à la fois un ver et un rootkit lui-même composé d'un certain nombre de chevaux de Troie.

=== Ingénierie sociale ===
Une dernière technique de piratage existe. Et bien qu'elle soit inclassable du point de vue technique, c'est probablement la plus efficace.

Souvent, si le pirate est humain, c'est un ''insider'' (quelqu'un de l'intérieur), ou quelqu'un qui peut avoir un accès physique aux machines (stagiaire, agent d'entretien, ou simplement qui connaît votre numéro de téléphone ou votre adresse e-mail). Dans ces conditions, il aura simplement recours à de l'[http://fr.wikipedia.org/wiki/Ingénierie_sociale ingénierie sociale]. Cette méthode consiste à profiter de la crédulité des gens qui souvent écrivent leurs mots de passe sur un bout de papier et le laissent à proximité de l'ordinateur. D'autres victimes sont par exemple appelées par téléphone ou contactées via e-mail par l'attaquant qui se fait alors passer pour l'agent d'un service technique quelconque, il prétend avoir besoin de votre mot de passe pour faire des tests.

Cela peut paraître trivial mais c'est la technique qui donne le plus de résultats avec le moins d'investissement en temps et en connaissance. [http://fr.wikipedia.org/wiki/Kevin_Mitnick Kevin Mitnick], un des rois du piratage était passé maître dans ce type d'attaques. Il avait un aplomb et un génie de l'improvisation alliés à des connaissances techniques hors du commun qui lui ont permis de réaliser des miracles (du mauvais côté de la loi, hélas).

Se prémunir contre ce genre d'attaques est simple: Ne confiez vos mots de passe à personne et méfiez-vous lorsqu'on vous les demande.

== Sécuriser sa machine ==
[http://fr.wikipedia.org/wiki/Bruce_Schneier Bruce Schneier], un des pontes de la sécurité informatique, a dit un jour: "''La sécurité n'est pas un produit, c'est un processus''" (''Security is not a product, it's a process''). L'idée que vous pourriez sécuriser votre machine une bonne fois pour toute lors de l'installation et ne plus y toucher ensuite n'est tout simplement pas envisageable. Tout comme les virii biologiques qui mutent pour contourner les défenses immunitaires de leurs hôtes et pouvoir survivre, les pirates inventent constamment de nouvelles techniques ou se servent de failles inédites et produisent des malwares qui pourront contourner des défenses qui étaient parfaitement sûres quelques semaines auparavant. Maintenir une défense contre les agressions des pirates est une veille constante de l'état de votre machine. Évidemment, sans sombrer dans la paranoïa, il va vous falloir accorder une attention à la sécurité de votre machine qui est proportionnelle à la valeur que vous accordez à ce qu'elle protège.

Cette section essaye de donner quelques conseils pour rendre votre machine plus sûre en vous donnant les moyens de résister à la plupart des attaques. '''Attention''', même si vous suivez tous ces conseils votre machine ne sera pas invulnérable, elle sera seulement plus difficile d'accès (ce qui décourage déjà 99% des malwares et des attaquants).

=== Les 10 règles d'or en sécurité ===
Il existe certaines règles qui permettent de se prémunir contre la plupart des attaques. Certaines sont simples et faciles à mettre en œuvre, d'autres sont plus complexes. Voici une liste (non exhaustive) de dix règles à suivre pour sécuriser votre ordinateur. Ces règles sont classées dans un ordre de difficulté croissant. Suivre les règles les plus simples est '''indispensable''' alors que les plus complexes permettent de sécuriser un peu plus votre machine mais ne sont pas forcément aussi importantes. Le mieux est de s'arrêter à l'endroit de la liste qui vous semble trop obscur. Une mesure de protection mal configurée étant souvent pire qu'une absence de protection.

# '''Attention à vos mots de passe''' (choisissez les bien et ne les confiez pas à des inconnu(e)s)
# '''Préférez les protocoles chiffrés''' (préférez ssh à telnet, scp à ftp, pop+ssl à pop, ...)
# '''N'executez et/ou installez pas n'importe quoi''' (attention aux chevaux de Troie)
# '''Passez root le moins souvent possible''' (root a beaucoup de droits et cela peut se retourner contre vous)
# '''Appliquez le principe du privilège minimum''' (Ne donnez un droit que s'il est nécessaire)
# '''Minimisez vos services''' (Si c'est inutile alors c'est dangereux)
# '''Mettez votre distribution à jour''' (Appliquez les correctifs de sécurité aussi souvent que possible)
# '''Filtrez et surveillez votre trafic réseau''' (Activez le firewall et éventuellement un IDS)
# '''Gardez un œil sur vos données''' (Sauvegardez-les et utilisez des logiciels comme tripwire)
# '''Renforcez votre noyau''' (Ajoutez des modules de sécurité optionnels: SELinux, ASLR, ...)

Une fois ces dix règles édictées, nous allons creuser celles qui valent la peine de l'être.

=== Un bon mot de passe, c'est quoi ? ===
Votre mot de passe est la clef de voûte de votre sécurité, il est extrêmement important de le choisir correctement... mais aussi de le mémoriser facilement.

Pour commencer, un ''mauvais'' mot de passe est un mot de passe pour lequel vous pouvez répondre "oui" à l'une des 7 questions suivantes:

# Avez vous écrit sur un bout de papier votre mot de passe ?
# Votre mot de passe est-il un mot commun que l'on peut trouver dans le dictionnaire ?
# Votre mot de passe est-il un mot commun suivi de 2 chiffres ?
# Votre mot de passe est-il un nom de personne, de lieu ou d'animal ?
# Quelqu'un d'autre connait-il votre mot de passe ?
# Utilisez vous le meme mot de passe pour plusieurs comptes et pour une longue période ?
# Utilisez vous le mot de passe par défaut du constructeur ou de l'éditeur ?

Si vous vous trouvez dans la situation de générer un nouveau mot de passe, voici une technique simple mais qui a fait ses preuves:

# Choisissez un mot ou une phrase qui a un sens pour vous (mais qui reste obscur aux yeux des autres). Par exemple votre personnage préféré dans une pièce, l'animal que vous aviez pendant votre enfance, etc... Notre exemple pour la suite sera "'''mot de passe'''"
# Enlevez les espaces et le remplacez caractères non ASCII (difficile de trouver l'accent sur un clavier QWERTY-us si vous êtes en déplacement). Par exemple: "'''motdepasse'''"
# Substituez les lettres qui s'y prêtent par des nombres. Par exemple: "'''m0tdep4ss3'''"
# Mettez en majuscule certaines lettres. Par exemple: "'''m0TDep4SS3'''"
# Ajoutez des nombres en fin du mot de passe. Par exemple: "'''m0TDep4SS301'''"
# Ajoutez un ou plusieurs caractères qui ne sont ni des lettres, ni des nombres. Par exemple: "'''m0T'De'p4SS3#01'''"

Et voilà, vous avez un beau mot de passe difficilement reconaissable mais mémorisable.

Enfin, si vous n'avez toujours pas confiance dans votre mot de passe, il existe un certain nombre de logiciels de crackage de mots de passe qui peuvent tourner en tâche de fond et vous indiquer quand il est temps de changer de mot de passe. [http://www.openwall.com/john/ John The Ripper] est sans doute le plus célèbre de ces logiciels (un paquetage doit exister pour votre distribution).

=== Politique de restriction des privilèges ===
Comme nous l'avons dit plus haut, accorder des privilèges non nécessaires à des utilisateurs ou des programmes peut s'avérer très dangereux si l'attaquant prend leur contrôle. Il pourra profiter de ces privilèges supplémentaires et les exploiter comme des failles de votre système.

==== Principe du privilège minimum ====
Le principe du privilège minimum est apparu au milieu des années 70 et sa formulation originale était la suivante: "'''Chaque programme et chaque utilisateur du système devrait opérer en utilisant le plus petit nombre de privilèges possible pour accomplir sa tâche.'''"

Sous Linux, le [http://lea-linux.org/cached/index/Permissions.html modèle des privilèges] de base identifie des objets (les fichiers), des actions (read, write, execute) et des acteurs (les utilisateurs et les groupes). Le type de contrôle que l'on peut exercer sur les privilèges est donné par le modèle du ''Discretionary Access Control'' (DAC) qui veut qu'une fois un utilisateur authentifié il ait tous les droits sur tous les objets qu'il possède.

Pour appliquer le principe du privilège minimum, il faut vous demander si chaque objet qui vous appartient a vraiment besoin d'être ouvert en lecture, écriture ou encore exécution. Si ce n'est pas le cas, supprimez ce droit. Par exemple, pourquoi laisser les autres utilisateurs avoir accès à votre compte en lecture ? C'est certes plus pratiques de temps en temps, mais si vous n'y prêtez pas attention, un attaquant pourrait s'infiltrer dans votre compte et voler des informations que vous ne voudriez pas voir partir. Le mieux est donc de mettre votre <code>umask</code> à <code>700</code> et de restreindre ainsi l'accès à votre compte.

'''Note''': D'autres modèles de contrôle existent, notamment de le ''Mandatory Access Control'' (MAC) implémenté par SELinux et d'autres (''Role-Based Access Control'', RBAC).

==== Bit setuid et sudo, avantages et inconvénients ====
Le bit setuid permet d'exécuter un binaire avec les droits, non pas de celui qui lance le programme, mais de celui qui le possède. Évidemment, les bit setuid sont très pratiques mais provoquent souvent des failles importantes dans le système. L'exemple le plus flagrant étant celui d'une commande comme <code>halt</code> qui n'est habituellement utilisable que par root mais qui est bien pratique pour l'utilisateur de la machine. Mettre le bit setuid sur la commande <code>halt</code> permettra à n'importe quel utilisateur de stopper la machine... Si un attaquant arrive sur votre machine via un compte crée à la va vite, il peut provoquer l'arrêt inconditionnel de votre machine même si vous êtes en train de travailler dessus.

En fait, si c'est votre propre machine, ce que vous désireriez, c'est simplement donner à l'utilisateur principal le droit de faire cela (sans avoir à passer root) et non pas à TOUS les utilisateurs à la fois. Un programme nommé <code>sudo</code> permet de gérer les autorisations de ce type (exécution ou accès sur la base de l'utilisateur et non des groupes).

=== Restreindre les failles de votre système ===
==== Mise à jour de votre distribution ====
Toutes les distributions classiques ont un système qui permet la mise à jour automatique de vos logiciels. D'autres ont même des mises à jour spécifiquement orientées sécurité (Debian, RedHat, Mandriva). Si votre machine est importante n'hésitez pas à le faire souvent.

==== Fermer les services inutiles ====
Apprenez à gérer vos [http://lea-linux.org/cached/index/Admin-admin_boot-daemons.html services].

=== Firewalls et IDS réseaux ===
==== Configuration minimale de Netfilter ====
Une fois limité les ports réseau attendant des connexions, il faut mettre en place un firewall filtrant grâce à iptables (ou autre). Netfilter est le nom de la couche du noyau qui permet de filtrer tout ce qui passe par les interfaces réseau, tandis que iptables est une interface permettant de piloter Netfilter. Ne pas confondre, donc.
Des articles ont déjà été écrits à ce propos :
* [[Reseau-secu-iptables|iptables par l'exemple]]
* [[Reseau-secu-murdefeu|Mur de feu pas à pas]]
* [[Leapro-pro_reseau-qos|QoS via iptables]]

De manière très succincte, il faut fermer tous les ports puis ouvrir ceux dont on a besoin : le port 80 (et le 443 pour du https) doit être ouvert si l'on a un serveur web, le port 110 si l'on a un serveur pop dont on veut qu'il soit accessible d'internet, etc.

Voici un bon script de base qu'on peut adapter :
<code>#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel <kernel@trustonme.net>
# Modifié par merlin8282 (je ne sais plus où j'ai pioché l'original mais il y ressemble encore vraiment beaucoup).
# this script is free software according to the GNU General Public License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT ###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET ###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans la suite.
# (Remplacer ppp0 en fonction de votre configuration)
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les connections peuvent continuer
# et faire des petits :
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT

# On termine en indiquant que les connections appartenant à "local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE #############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

############################### LE MASQUERADING #########################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
#echo "[Mise en place du masquerading]"
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

########################### ACTIVATION DE LA PASSERELLE ##################

#echo "[Activation de la passerelle]"
#echo 1 > /proc/sys/net/ipv4/ip_forward

############################## PAS DE SPOOFING ##########################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

############################### PAS DE PING ############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections - QoS ############

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput

############################ Fonctionnalités serveurs #####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache, proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

#echo "[autorisation du serveur http(80) ...]"
#iptables -A INPUT -p tcp --dport www -j ACCEPT

#echo "[autorisation du serveur https(443) ...]"
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

#echo "[autorisation du serveur aMule (4662/tcp) ...]"
#iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

#echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
#iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac</code>
Ce script est à mettre généralement dans un fichier du dossier <code>/etc/init.d/</code> .

==== Configuration minimale de Snort ====
Voir : [http://lea-linux.org/cached/index/Reseau-secu-SNORT.html Installation de SNORT] (doc Lea).

=== Sauvegardes et IDS systèmes ===
==== Mettre en place un système de sauvegarde ====
Le mieux est encore de lire une [http://lea-linux.org/nocache/index/Catégorie:Trucs_Sauvegarde.html# documentation correcte à ce sujet], en l'occurence [http://lea-linux.org/nocache/index/Les_sauvegardes.html cet article].

==== Configuration minimale de Tripwire ====

== Détecter les intrusions, connaître les outils ==
=== Les symptômes ===

# Votre système a un comportement étrange ou inhabituel.
# Un des comptes a été utilisé ou des fichiers ont été modifiés à l'insu de son propriétaire légitime.
# Un programme ou un utilisateur inconnu se balade sur votre système.
# L'un de vos IDS vous signale une trace très probablement dûe à une attaque (attention aux faux positifs) ou une corruption anormale de votre système de fichiers.
# Des outils d'audit révèlent des anomalies sur votre système.

=== who ===
La commande <code>who</code> ou <code>w</code> permet de voir les utilisateurs actuellement connectés (loggés) au système. Attention cependant car un agresseur peut être -- et l'est certainement si c'est le cas -- connecté sous votre nom, s'il est parvenu à s'immiscer dans votre système.

=== ps ===
La commande <code>ps</code> liste tous les processus actuellement en cours d'exécution sur le système. S'il en est un que vous ne connaissez pas, identifiez-le. Si vous ne savez toujours pas ce que c'est, pas d'affollement : utilisez la commande <code>lsof</code> et voyez si vous trouvez des fichiers en rapport avec ce processus. Vous pouvez alors identifier le processus et déterminer si c'est un processus "inoffensif". Si ce n'est pas le cas, vous pouvez supprimer les fichiers qu'il faut. Attention toutefois à bien être certain que ce soit un logiciel malveillant que vous supprimez ! En revanche, si c'est un logiciel qui s'est fait infecter (par exemple apache) il suffit de réinstaller celui-ci, après avoir vidé le cache des paquets de votre gestionnaire de packages. Vérifiez aussi la configuration après réinstallation. Nul besoin de redémarrer, sauf si évidemment c'est le noyau qui est corrompu, chose qui est à mon avis très rare.

=== netstat ===
La commande <code>netstat</code> est une commande qui liste toutes les connexions réseau actives sur votre machine ainsi que l'état dans lequel elles sont (listening, connected, established, etc.) :
<code>Proto Recv-Q Send-Q Adresse locale Adresse distante Etat
tcp 0 0 0.0.0.0:3129 0.0.0.0:* LISTEN
tcp6 0 0 :::443 :::* LISTEN</code>
On voit ici par exemple que le port 3129 écoute (LISTEN) sur la machine locale (0.0.0.0) et que le port 443 en fait de même.
Vérifiez les connexions actives, les ports ouverts, et faites le lien avec vos démons et autres programmes qui tournent. Si un port ne vous dit rien, informez-vous.

=== lsof ===
La commande <code>lsof</code> liste tous les fichiers ouverts actuellement. Elle indique aussi quel utilisateur utilise quel fichier.
<code>COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
init 1 root mem REG 3,65 31432 1720343 /sbin/init
apache2 597 root mem REG 3,65 385484 25423 /usr/sbin/apache2</code>
Les informations parlent d'elle-mêmes. Ce sont deux cas précis parce-que le processus <code>init</code> a le fichier <code>/sbin/init</code> d'ouvert (de même pour apache).

=== fcheck ===
C'est un utilitaire qui notifie l'administrateur en cas de modification de fichiers. On précise dans le fichier de configuration quels fichiers ou dossiers on veut surveiller et un mail est envoyé en cas de changement.

=== logcheck ===
<code>logcheck</code> est un outil qui scrute les logs, en fait un résumé et envoie un courriel à l'administrateur (généralement root en local) régulièrement. Evidemment, il est possible de configurer le niveau de ce qui est rapporté.

=== chkrootkit ===
C'est un logiciel important, puisqu'il détecte la présence de rootkits. Son principe de fonctionnement est l'écoute des ports réseau. Relativement souvent, cependant, des logiciels tels les clients peer2peer sont détectés comme une menace, bien qu'ils soient innofensifs. En effet, ils utilisent des ports qui ne sont pas "officiellement" connus (contrairement au port 80, par exemple, qui est celui de tout serveur web). Donc pas d'affollement.

== Récupération d'une machine corrompue ==

==== Règles d'urgence ====
Que faut-il faire avant toute chose ? Comment réagir ? Comment se prémunir d'autres attaques ?

# Mettre la machine hors-ligne (débranchez simplement la prise réseau)
# Faites une sauvegarde '''complète''' du système sur des supports qui seront mis en lieu sûr (cette image du système servira à l'analyse post-mortem).
# Redémarrez à partir d'une image sûre de votre système, restaurez les données. Dans l'idéal, réinstallez complètement votre système (si possible).
# Changez tous les mots de passe.
# Faites une mise à jour '''complète''' de la distribution (installez éventuellement quelques contre-mesures supplémentaires).
# Remettez-la en ligne (en la surveillant plus attentivement que d'habitude, les pirates reviennent souvent sur les machines qu'ils ont réussi à pirater).

Une fois ceci fait, rien ne vous dit que la ou les failles utilisées par les pirates ont disparues. Il vous faut donc procéder à l'analyse post-mortem de l'image de votre système pour déterminer quelle méthode ont utilisé les pirates pour compromettre votre ordinateur et vérifier que la ou les failles ont bien disparues sur votre système actuel.

==== Analyse Post-mortem ====
==== À qui signaler les intrusions et comment réagir face à la loi ? ====

== Voir aussi ==
* [http://fr.wikipedia.org/wiki/Cat%C3%A9gorie:Logiciel_de_s%C3%A9curit%C3%A9_informatique Wikipédia : Catégorie:Logiciel de sécurité informatique]
* [http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_informatique Wikipédia : Sécurité des systèmes d'information]
* [http://fr.wikipedia.org/wiki/Risques_en_s%C3%A9curit%C3%A9_informatique Wikipédia : Risques en sécurité informatique]
* [http://www.debian.org/doc/manuals/securing-debian-howto/index.fr.html Une excellente documentation concernant la sécurisation de la distribution Debian GNU/Linux]

== Conclusion ==
Même si l'on connaît les risques, il est toujours impératif de rester sur ses gardes. De nouvelles menaces apparaissent régulièrement, de nouvelles failles sont découvertes chaque jour, de nouveaux virus aussi, etc. L'avenir nous dira si un jour on aura des ordinateurs sûrs à 100%, chose qui n'est pas impossible mais cependant improbable.

{{Copy|2006|[[Utilisateur:Merlin8282|Merlin8282]], [[Utilisateur:Fleury|Fleury]]|CC-BY-SA}}