GNU/Linux Magazine N°
Numéro
128

Detection d'intrusion avec l'HIDS OSSEC

Temporalité
Juin 2010
Article mis en avant

Résumé
Tripwire, AIDE, Samhain sont des noms dont vous avez déjà sûrement entendu parler. En effet, ceux sont les trois « Host based Intrusion Detection System » (HIDS) libres les plus répandus, qui sont mentionnés à chaque article traitant de sécurité. Le problème de ces trois HIDS est qu'ils se limitent uniquement à vérifier l'intégrité de certains fichiers de la machine qu'ils protègent et cela n'est bien évidemment pas suffisant. Ainsi, on retrouve généralement en plus de ces outils, des programmes comme rkhunter ou logcheck pour détecter la présence de rootkits sur le système et détecter des comportements étranges à travers l'analyse des logs, deux choses que ces trois HIDS ne sont pas capables de faire. Dans cet article, nous verrons qu'il existe un HIDS libre qui remplit toutes les fonctionnalités nécessaires pour protéger efficacement une ou un ensemble de machines. Cet HIDS se nomme OSSEC.

Dans ce numéro...


3.21 3… 2… 1… et votre cluster HPC (High-Performance Computing) part en morceaux !
Le Kernel Corner propose ce mois-ci un périple autour du mécanisme de pagination, mécanisme qui autorise la mise en oeuvre d'une mémoire virtuelle par notre système d'exploitation. Cette brève se penche plus particulièrement sur une spécificité de ce mécanisme : les Huge pages. Après quelques rappels techniques, nous exposons les bénéfices qui peuvent découler de l'utilisation de telles pages. Nous présentons différents moyens pour les employer et introduisons enfin les travaux en cours dans ce domaine dont devrait profiter prochainement Linux. Bien que les huge pages ne soient pas l'apanage d'une architecture en particulier, nous articulons notre discours sur la plateforme x86.
Les solutions d'hébergement dédié sont de plus en plus abordables et ce, pour des machines toujours plus puissantes. Grâce aux jails de FreeBSD et à Packet Filter, vous découvrirez comment offrir des services d'hébergement web/mail multidomaines à vos procheswWwclients tout en cloisonnant au maximum les différents services (ldap, http, https, smtp/imap), et en sécurisant les accès. Le tout, mesdames et messieurs, sur un lit de FreeBSD 8.0 flambant neuf en full ZFS mirroré installé sans filet !
Depuis que je publie mes coups de gueule dans GLMF, je suis de plus en plus souvent contacté par e-mail ou de vive voix pour donner mon avis sur des sujets techniques ou afférents aux logiciels libres. C'est ainsi qu'il y a quelques semaines, je me suis retrouvé à un dîner où l'on m'a demandé : « Dis moi, Jean-Pierre, qu'est-ce qu'un bon open source commercial ? »...
Compiler, lier, exécuter, … autant de tâches familières pour le programmeur que vous êtes. Mais les détails de ces opérations sont plus confidentielles. Par exemple, connaissez-vous les formes que prend un programme durant sa construction ? Savez-vous comment il est chargé en mémoire et exécuté ? Comment il communique avec le noyau et les bibliothèques du système ? Cette série vous fera découvrir les ficelles de la production et de l'exécution d'un programme sous Linux, un sujet vaste qui nous fera plonger jusque dans les détails du noyau et nous aidera à devenir un meilleur programmeur, conscient de la relation entre son code, le système et le matériel.
Depuis 1999, le projet Honeynet regroupe différents chercheurs en sécurité et des passionnés autour des problématiques liées aux techniques pour capturer les agissements de pirates attaquant des réseaux, serveurs et postes informatiques vulnérables, et analyser les techniques utilisées. Chaque mois, le projet proposait un challenge nommé Scan Of the Month, c'était l'occasion de mettre ses méninges à l'épreuve pour analyser des logs ou des traces réseaux selon l'humeur des concepteurs des épreuves. Plus d'une trentaine de challenges ont ainsi été proposés jusqu'en 2005. Aujourd'hui, certains d'entre eux sont toujours utilisés comme cas d'école dans les cursus de sécurité informatique, mais le paysage des attaques a bien changé en ciblant de plus en plus le particulier ou le poste utilisateur : phénomène de botnet, attaques des failles du navigateur web, attaques utilisant des PDF malicieux, ... Depuis le mois de janvier 2010, les challenges Honeynet sont de retour. Découvrons ensemble le premier challenge, une attaque réseau.
Au menu de cet article, vous trouverez de la programmation parallèle au parfum d'Ada, du POSIX dans sa garniture de C, le tout lié dans une sauce à la GCC. Il faut bien tous ces ingrédients pour qu'un programme en VHDL puisse être synchronisé avec l'horloge de la cuisi^W^Wl'ordinateur. Cela nous permettra par la suite de simuler des circuits (pas très complexes) en temps réel. Pour y arriver, il va quand même y avoir du travail puisque le VHDL n'est pas prévu pour cela. Heureusement, il y a des astuces, mais avant de les comprendre, il va falloir explorer certaines subtilités de ce langage...
Pour le fun, j'ai décidé, il y a déjà quelques semaines, de me fabriquer ma propre montre électronique, avec un FPGA programmé en VHDL. J'ai donc commencé à écrire mon programme et assez rapidement, j'ai voulu le simuler sous Linux pour éliminer la plus grosse partie des erreurs. Facile avec GHDL (présenté dans GLMF n°127) et une bibliothèque en C !
XML est un langage de description de document textuel formidable par sa simplicité, mais pas toujours facile à manipuler. Une vue superficielle ne fait apparaître que des marqueurs ouverts ou fermés, et quelques zones de texte. C'est en réalité beaucoup plus complexe. Un arbre XML est composé de différents nœuds, de différents types, reliés les uns aux autres par des agrégations ou des relations via l'emploi des attributs ID et IDREF. Ce n'est pas un langage de description de structure, mais de documents textuels. Une représentation DOM (Document Object Model) permet de naviguer entre les nœuds de différents types.
Si vous utilisez Perl, vous connaissez déjà le CPAN, proposant plus de 10000 modules réutilisables pour gagner en temps et en qualité. Dans cet article, nous allons nous mettre dans la peau d'un auteur ayant publié des modules sur CPAN et voir comment simplifier le processus de maintenance associée.
Ah le cucumis sativus, cucurbitacée originaire de l´Himalaya, domestiquée en Inde pour la première fois il y a 3 millénaires, il en a fait du chemin. Désormais disponible partout de par le vaste monde civilisé (il paraît), il nous arrive incrusté de petits cailloux rouges.
Rédiger un article sur une API ou un langage de programmation est un exercice parfois difficile. Il y a beaucoup d'approches pour aborder le sujet. Dans mon cas, je n'en voyais que deux. La première, faire une liste de ce que l'API ou le langage peut faire. Le problème (si si, il y en a un) ? Ça peut devenir vite ennuyeux à lire. La deuxième, présenter un exemple qui évolue au fur et à mesure que les lignes viennent enrichir l'article. Ah oui, encore un problème ! Il risque d'y avoir une grande quantité de code, ce qui n'est pas spécialement adapté au support papier. Et bien ici, je vais tenter de vous présenter l'API java-gnome en mixant les deux approches citées précédemment en n'en retenant que les qualités.

Magazines précédents

Les derniers articles Premiums

Les derniers articles Premium

Cryptographie : débuter par la pratique grâce à picoCTF

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

L’apprentissage de la cryptographie n’est pas toujours évident lorsqu’on souhaite le faire par la pratique. Lorsque l’on débute, il existe cependant des challenges accessibles qui permettent de découvrir ce monde passionnant sans avoir de connaissances mathématiques approfondies en la matière. C’est le cas de picoCTF, qui propose une série d’épreuves en cryptographie avec une difficulté progressive et à destination des débutants !

Game & Watch : utilisons judicieusement la mémoire

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Au terme de l'article précédent [1] concernant la transformation de la console Nintendo Game & Watch en plateforme de développement, nous nous sommes heurtés à un problème : les 128 Ko de flash intégrés au microcontrôleur STM32 sont une ressource précieuse, car en quantité réduite. Mais heureusement pour nous, le STM32H7B0 dispose d'une mémoire vive de taille conséquente (~ 1,2 Mo) et se trouve être connecté à une flash externe QSPI offrant autant d'espace. Pour pouvoir développer des codes plus étoffés, nous devons apprendre à utiliser ces deux ressources.

Raspberry Pi Pico : PIO, DMA et mémoire flash

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Le microcontrôleur RP2040 équipant la Pico est une petite merveille et malgré l'absence de connectivité wifi ou Bluetooth, l'étendue des fonctionnalités intégrées reste très impressionnante. Nous avons abordé le sujet du sous-système PIO dans un précédent article [1], mais celui-ci n'était qu'une découverte de la fonctionnalité. Il est temps à présent de pousser plus loin nos expérimentations en mêlant plusieurs ressources à notre disposition : PIO, DMA et accès à la flash QSPI.

Body