Cyb 03

Chapitre 3 : Système
d'exploitation Linux
Cybersecurity Operations v1.1

Chapitre 3 - Sections et objectifs
 3.1 Vue d'ensemble de Linux
• Effectuer des opérations de base dans le shell Linux.
• Expliquer pourquoi les compétences Linux sont essentielles pour la surveillance de la sécurité du réseau et
l'investigation.
• Utiliser le shell Linux pour manipuler des fichiers texte.
• Expliquer le fonctionnement des réseaux client-serveur.
 3.2 Administration de Linux

• Effectuer des tâches d'administration Linux basiques.
• Expliquer comment un administrateur Linux localise et manipule les fichiers journaux de sécurité..
• Gérer le système de fichiers Linux et les autorisations.
 3.3 Hôtes Linux

• Effectuer des tâches de base liées à la sécurité sur un hôte Linux.
• Expliquer les composants de base de l'interface graphique utilisateur Linux.
• Utiliser les outils pour détecter les malwares sur un hôte Linux.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 2
3.1 Vue d'ensemble de Linux
Notions de base sur Linux
Qu'est-ce que Linux ?
 Linux est un système d'exploitation open source créé en 1991 et géré par une communauté
de programmeurs.
 Open source signifie que les fichiers de programmation sources, notamment le noyau, le
shell et les applications, peuvent être téléchargés, consultés et modifiés.
 En tant que système d'exploitation réseau, Linux est largement utilisé sur différentes plates-
formes, notamment dans les systèmes intégrés.
 Il existe de nombreuses versions ou distributions Linux différentes. Une
distribution se définit par son noyau, ses programmes et ses packages
logiciels.
 Certaines distributions Linux sont gratuites, comme CentOS et Fedora.
D'autres, comme Red Hat Enterprise Server, sont payantes, mais
s'accompagnent de services d'assistance.
Valeur ajoutée de Linux
 Linux est le système d'exploitation de choix dans le centre opérationnel de sécurité (SOC).
• Technologies Open Source
• Permet aux analystes et aux administrateurs de personnaliser le système d'exploitation.
• L'interface de ligne de commande (ILC) est très puissante.
• Permet aux analystes d'effectuer des tâches directement ou à distance sur un terminal.
• Les utilisateurs ont plus le contrôle sur le système
d'exploitation.
• L'utilisateur racine ou le super utilisateur détient le pouvoir absolu
sur l'ordinateur.
• Permet de modifier n'importe quel aspect de l'ordinateur.
• Permet un contrôle précis sur les fonctions de l'ordinateur.
• Permet de mieux contrôler les communications réseau.
• Excellente plate-forme pour la création d'applications réseau.
Linux dans le SOC
 Vous pouvez créer une distribution Linux de sécurité personnalisée pour un centre
opérationnel de sécurité en utilisant uniquement les outils nécessaires à la tâche.
• Capture de paquets (Wireshark)
• Outils d'analyse des malwares
• Systèmes de détection des intrusions (IDS)
• Pare-feu
• Gestionnaires de journaux
• Gestion des informations et des événements
liés à la sécurité (SIEM)
• Systèmes de gestion des incidents
Outils Linux
 Outils courants de test d'intrusion
• Processus de recherche des vulnérabilités.
• Exemples d'outils :
• Générateurs de paquets
• Outil de balayage des ports
• Exploits de validation
 La distribution Kali Linux regroupe de nombreux

outils de test d'intrusion.
Utilisation du Shell Linux
Le shell Linux
 L'utilisateur communique avec le système d'exploitation à l'aide de l'interface de ligne de
commande ou de l'interface graphique.
 Les applications de l'émulateur de terminal permettent l'accès des utilisateurs à linterface de
ligne de commande :
• terminateur
• eterm
• xterm
• konsole
• gnome-terminal
Commandes de base
Commande Fonction
mv Déplace ou renomme les fichiers et les répertoires
chmod Modifie les autorisations des fichiers
chown Modifie le propriétaire d'un fichier
dd Copie les données d'un fichier/d'un appareil d'entrée vers un support de sortie
pwd Affiche le nom/chemin du répertoire actuel
ps Répertorie les processus en cours d'exécution
su Remplace l'utilisateur actuel par un autre utilisateur
sudo Exécute une commande avec les privilèges d'un super utilisateur
grep Recherche des données en texte brut dans les lignes qui correspondent à une
expression régulière
ifconfig Affiche ou configure les paramètres des interfaces réseau
apt-get Installe un logiciel à l'aide de l'outil avancé de package
iwconfig Affiche ou configure les paramètres sans fil du réseau
shutdown Déconnecte l'utilisateur et éteint le système d'exploitation
passwd Modifie le mot de passe d'un utilisateur
cat Permet de répertorier le contenu d'un fichier texte
man Permet d'afficher la documentation d'une commande spécifique.

Commandes de fichiers et de répertoires
Commande Fonction
ls Afficher les fichiers d'un répertoire
cd Change de répertoire actif
mkdir Crée un répertoire dans le répertoire en cours
cp Copie les fichiers de la source vers la destination
mv Déplace les fichiers dans un autre répertoire
rm Supprime des fichiers
grep Recherche des chaînes spécifiques de caractères
cat Permet de répertorier le contenu d'un fichier texte
Utilisation du shell Linux
Utilisation des fichiers texte
 De nombreux éditeurs de texte sont disponibles sous Linux.
 Certains éditeurs de texte ne sont destinés qu'à l'interface de ligne de commande, comme vi,
vim et nano
 D'autres éditeurs de texte, comme gedit, reposent sur l'interface graphique utilisateur.
 Les éditeurs de texte CLI permettent la gestion du système à distance, par exemple via SSH.
Utilisation du shell Linux
L'importance des fichiers texte dans Linux
 Sous Linux, tout est traité comme un fichier, notamment la mémoire, les disques, l'écran,
les fichiers et les répertoires.
 Vous configurez le système d'exploitation et la plupart des programmes en modifiant les
fichiers de configuration qui sont des fichiers texte.
 Pour modifier des fichiers de configuration
du système ou d'une application, vous
devez disposer de privilèges de super
utilisateur (root). Pour ce faire, utilisez la
commande sudo.
Serveurs et clients Linux
Présentation des communications client-serveur
 Les serveurs sont des ordinateurs sur lesquels est installé un logiciel qui leur permet d'offrir des services aux clients.
 Les ressources, telles que les fichiers, les messages de courrier électronique ou les pages web, sont stockées sur le serveur.
 Les serveurs peuvent également fournir des services, tels que la gestion des journaux, la gestion de la mémoire et l'analyse
du disque.
 Le logiciel client est conçu pour communiquer avec le serveur.
Serveurs et clients Linux
Serveurs, services et ports
 Un port est une ressource réseau réservée utilisée par un service.
 Un administrateur peut attribuer un port à un service spécifique ou utiliser le numéro de port par défaut.
Numéro de port par défaut Service

21 FTP (File Transfer Protocol)
22 SSH (Secure Shell)
23 Service de connexion à distance Telnet
25 Protocole SMTP
53 Système DNS (Domain Name System)
80 Protocole HTTP (Hypertext Transfer Protocol)
110 protocole POP3 (Post Office Protocol version 3)
123 Protocole NTP (Network Time Protocol)
143 Protocole IMAP (Internet Message Access Protocol)
161/162 Simple Network Management Protocol (SNMP)
443 HTTPS (HTTP Secure)
Serveurs, services et ports
Clients
 Les clients sont les programmes ou des applications conçus pour communiquer avec un serveur
spécifique.
 Les applications client sont utilisées pour un protocole bien défini :

• FTP (File Transfer Protocol)
• Protocole HTTP (Hypertext Transfer Protocol)
3.2 Administration de Linux
Administration de base du serveur
Fichiers de configuration de service
 Vous pouvez généralement configurer des serveurs Linux avec des fichiers texte de
configuration.
 Le fichier de configuration définit les options du service comme le numéro de port,
l'emplacement des ressources hébergées et les détails d'autorisation du client.
 Un fichier de configuration de serveur contient
souvent les paramètres importants du serveur sous
la forme de variables dans des paires clé=valeur.
 Un fichier de configuration de serveur comporte
habituellement des instructions qui commencent
par un commentaire avec un signe dièse #.
Les commentaires sont ignorés par le logiciel.
Administration de base du serveur
Renforcement de la sécurité des appareils
 Assurer la sécurité physique
 Réduire le nombre de packages installés
 Désactiver les services inutilisés
 Utiliser SSH et désactiver l'identifiant du compte racine (root) via SSH
 Mettre le système à jour régulièrement
 Désactiver la détection automatique USB
 Imposer l'utilisation de mots de passe forts
 Modifier régulièrement les mots de passe
 Empêcher les utilisateurs de réutiliser d'anciens mots de passe
 Consulter régulièrement les journaux

Administration de serveur de base
Surveillance des journaux de service
 Les fichiers journaux sont des documents qui gardent une trace des événements importants qui se sont produits sur
l'ordinateur.
 Linux propose les types de journaux suivants :
• Journaux Journal Objectif

d'applications /var/log/messages Stocke les messages système informatifs et non essentiels.
• Journaux /var/log/auth.log Stocke tous les événements liés à l'authentification.
d'événements /var/log/secure Utilisé par Red Hat et CentOS ; il assure le suivi des connexions sudo,
• Journaux des connexions SSH et des erreurs enregistrées par SSSD.
de services /var/log/boot.log Stocke les messages liés au démarrage
• Journaux système /var/log/dmesg Contient les messages du tampon de l'anneau du noyau
/var/log/kern.log Contient les informations consignées par le noyau
/var/log/cron Un service utilisé pour la planification des tâches automatisées dans
Linux
/var/log/mysqld.log ou Consigne tous les messages de débogage, d'échec et de réussite, liés
/var/log/mysql.log au processus mysqld et au démon mysqld_safe
Le système de fichiers Linux
Les types de systèmes de fichiers sous Linux
Type de système de fichiers Description
ext2 (deuxième système de fichiers Est le système de fichiers de choix pour les supports de stockage basé sur mémoire flash.
étendu)
ext3 (troisième système de fichiers Succède à ext2 qu'il complète avec la fonctionnalité supplémentaire de journalisation de
étendu) toutes les modifications apportées au système de fichiers.
ext4 (quatrième système de fichiers Succède à ext3 avec la prise en charge des tailles de fichier volumineuses et de meilleures
étendu) performances.
NFS (Network File System) NFS est un système de fichiers basé sur le réseau, qui permet l'accès aux fichiers via ce
dernier.
CDFS (Compact Disc File System) CDFS a été créé spécifiquement pour les supports à disques optiques.
Système de fichiers d'échange Est utilisé lorsque le système s'exécute sur la mémoire vive.
HFS+ (Hierarchical File System Plus) Système de fichiers primaire utilisé par Apple dans ses ordinateurs Macintosh les plus récents.
APFS (Apple File System) Un système de fichiers mis à jour utilisé par les périphériques Apple et qui fournit un
chiffrement renforcé et optimisé pour les lecteurs flash et les disques SSD.
enregistrement d'amorçage maître Situé dans le premier secteur d'un ordinateur partitionné et stocke toutes les informations sur
(MBR, Master Boot Record) la façon dont est organisé le système de fichiers.
Rôles Linux et autorisations sur les fichiers
Chaîne de huit caractères (3 bits) par autorisation (par exemple, 111 correspond à un 7 pour la lecture, l'écriture et l'exécution)
 Utilisateur : autorisation du propriétaire du fichier
 Groupe : autorisation d'un groupe pour un fichier
 Autre : autorisation de n'importe quel utilisateur qui n'est pas propriétaire d'un fichier
 Lecture : autorisation de consulter le contenu d'un fichier
 Écriture : autorisation de modifier le contenu d'un fichier
 Exécution : autorisation d'exécuter ou de lancer un fichier (scripts et programmes)
Liens matériels et liens symboliques
 La commande ln crée des liens entre les fichiers.
 Liens matériels :
• Pointe vers le même emplacement que le fichier d'origine.

• Si un fichier est modifié, l'autre l'est aussi.
 Liens symboliques ou logiciels :
• Utilise l'option -s dans la commande pour créer le lien symbolique.

• En cas de suppression du fichier d'origine, le lien logiciel est relié au fichier d'origine qui n'existe plus.
 Avantages par rapport aux liens symboliques :
• Il est plus difficile de localiser les liens matériels.

• Les liens matériels sont limités au système de fichiers dans lequel ils sont créés. Les liens symboliques
peuvent établir un lien vers un fichier situé dans un autre système de fichiers.
• Les liens matériels ne peuvent pas renvoyer vers un répertoire, contrairement aux liens symboliques.
3.3 Hôtes Linux
Utiliser l'interface graphique (GUI) Linux
Système X Windows
 X Window System correspond au cadre de l'interface
graphique utilisateur Linux, également connu sous le nom
de X et X11.
 Il propose des fonctions qui permettent de dessiner et de

déplacer la fenêtre, mais aussi d'interagir avec la souris
et le clavier.
 X fonctionne comme un serveur et peut envoyer la

fenêtre graphique à un ordinateur distant via le réseau.
 X ne spécifie pas l'interface utilisateur ni le poste de

travail. C'est le rôle du gestionnaire de fenêtres qui
définit l'apparence de l'interface graphique utilisateur.
 Gnome et KDE sont des exemples de gestionnaires

de fenêtres Linux populaires.
Utiliser l'interface graphique (GUI) Linux
Interface graphique utilisateur Linux
 Barre de menus supérieure : application
en cours d'exécution
 Lanceur d'applications : sert de lanceur

d'applications et de commutateur
 Liste rapide : cliquez avec le bouton droit

sur toute application hébergée sur le lanceur
pour accéder à une courte liste des tâches
que l'application peut effectuer.
 Boîte de recherche Dash : contient l'outil

de recherche et une liste des applications
récemment utilisées.
 Menu système et notifications : Sert à

changer d'utilisateur, arrêter l'ordinateur,
contrôler le volume sonore ou modifier les
paramètres réseau.
Utiliser un hôte Linux
Installation et exécution d'applications sur un hôte Linux
 L'installation et la suppression des programmes sous Linux sont beaucoup plus simples via un
gestionnaire de paquets.
 Les gestionnaires de paquets Linux dressent la liste des logiciels disponibles, des exigences et des
dépendances des bibliothèques dynamiques.
 APT pour les paquets Debian (dpkg) et Yum pour les paquets Red Hat (rpm) sont des gestionnaires
de paquets populaires.
Maintenir le système à jour
 apt-get update : télécharge la liste des logiciels disponibles depuis le référentiel de
distribution et met à jour la base de données de paquets locale
 apt-get upgrade : télécharge et met à niveau toutes les applications logicielles installées sur
le système
Processus et bifurcations
 Un processus est une instance de programme informatique en cours d'exécution. Les
systèmes d'exploitation multitâches peuvent exécuter de nombreux processus en même
temps.
 La bifurcation est une méthode utilisée par le noyau pour autoriser un processus à créer sa
propre copie afin d'assurer l'évolutivité des processus.
 Commandes permettant de gérer les processus :
• ps : afficher les processus en cours d'exécution sur le système
• top : afficher les processus en cours d'exécution de manière dynamique
• kill : modifier le comportement d'un processus spécifique, par exemple en le supprimant, en le
redémarrant ou en l'interrompant
Logiciels malveillants sur un hôte Linux
 Linux est généralement plus résistant aux malwares que d'autres systèmes d'exploitation, mais il
n'est quand même pas immunisé.
 Un serveur Linux n'est protégé que grâce à la programmation qui se cache derrière ses services
et ses applications.
Vérification de Rootkit
 Les rootkits sont installés dans le noyau du système
d'exploitation et servent souvent à créer des portes
dérobées dissimulées.
 chkrootkit est un programme qui recherche les
rootkits et les supprime.
 La suppression de rootkit peut être complexe voire
impossible, surtout lorsqu'il réside dans le noyau ; la
réinstallation du système d'exploitation est
généralement la seule véritable solution au problème.
Commandes avec barres verticales
 De nombreuses commandes peuvent
être combinées pour effectuer des
tâches plus complexes, par une
technique appelée « chaînage ».
 la barre verticale (|)
 Les barres verticales permettent

d'enchaîner plusieurs commandes et
d'alimenter l'entrée d'une commande
par la sortie d'une autre.
Vidéo de démonstration – Applications, rootkits et commandes avec barres
verticales
 Arch Linux utilise le gestionnaire de

paquets pacman.
• La commande mlocate permet la
recherche de fichiers.
 Linux Ubuntu utilise le gestionnaire de
paquets APT.
• chkrootkit : programme de recherche de
rootkits
 Elle est particulièrement utile pour
renvoyer le résultat d'un programme en
entrée d'un autre programme.
3.4 Synthèse du chapitre
Récapitulatif du chapitre
Récapitulatif
 Linux est un système d'exploitation open source qui peut être personnalisé et qui a été conçu pour être connecté
au réseau.
 Le système d'exploitation Linux est utilisé dans un environnement SOC, car il permet un meilleur contrôle des
utilisateurs et du réseau.
 Des outils Linux, tels que la capture de paquets, l'analyse et le test d'intrusion, sont utilisés pour les activités de
sécurité et l'investigation.
 L'utilisation du shell Linux pour travailler avec les répertoires et les fichiers, notamment pour créer, modifier, copier
et déplacer des fichiers.
 Les éditeurs de texte de la ligne de commande permettent aux utilisateurs d'effectuer des tâches d'administration
à distance.
 Un accès root ou de super utilisateur est nécessaire pour gérer les fichiers de configuration du système. Tous les
fichiers de configuration sont des fichiers texte.
 Les serveurs sont des ordinateurs sur lesquels est installé un logiciel qui leur permet d'offrir des services aux
clients.
Récapitulatif (suite)
 Un port est une ressource réseau réservée utilisée par un service.
 Les clients sont les programmes ou des applications conçus pour communiquer avec un serveur
spécifique.
 Les services sont gérés à l'aide de fichiers de configuration.
 Le renforcement de la sécurité des appareils implique l'implémentation de méthodes éprouvées de

sécurisation des appareils et la protection de son accès administratif.
 Types et emplacement des journaux de services utilisés à des fins de surveillance
 Les types de systèmes de fichiers Linux incluent ext2, ext3, ext4, NFS, CDFS et HFSF+.
 L'utilisateur, le groupe et les autres utilisateurs disposent d'autorisations différentes sur les fichiers qui
indiquent s'ils ont ou non des droits de lecture, d'écriture et d'exécution.
 Un lien matériel est un type de fichier qui pointe vers le même inode que le fichier d'origine. Un lien
symbolique ressemble au lien matériel, sauf qu'il pointe vers le nom de fichier d'un autre fichier.
Récapitulatif (suite)
 X Window System correspond au cadre de l'interface graphique utilisateur Linux, également connu sous le
nom de X et X11 X fonctionne comme un serveur.
 L'interface utilisateur graphique n'est pas requise sur un système Linux, mais est considérée comme plus
conviviale.
 L'installation et l'exécution des applications sont plus simples via le gestionnaire de paquets.
 Le système reste à jour grâce à apt-get update et à apt-get upgrade.
 Affichage des processus et des bifurcations en cours d'exécution dans la mémoire.
 Un serveur Linux n'est protégé que grâce à la programmation qui se cache derrière ses services et ses
applications.
 L'utilisation de chkrootkit pour rechercher les rootkits connus sur l'ordinateur.
 L'utilisation des barres verticales pour regrouper des commandes, en ajoutant la sortie d'une commande
dans l'entrée d'une autre commande.
Chapitre 3
Nouveaux termes et nouvelles commandes
• Un client • Fichiers journaux
• CDFS (Compact Disc File System) • montage
• fichier de configuration • Network File System (NFS)
• protection des périphériques • correctif
• distro • Test d'intrusion
• ext2 • La canalisation
• ext3 • port
• ext4 • rootkit
• Bifurcation • serveur
• lien matériel • Snort
• Hierarchical File System Plus (HFS+) • superuser
• système de détection d'intrusions (IDS) • système de fichiers d'échange
• journal • lien symbolique
• Kali Linux • Émulateur de terminal
• Linux • Système X Window
Certification en opérations de cybersécurité
Ce chapitre couvre les domaines suivants en matière de certification en opérations de cybersécurité :
210-250 SECFND - Comprendre les principes fondamentaux de la cybersécurité Cisco :
 Domaine 4 : analyse d'hôte

• 4.2 Définition des termes suivants en relation avec Linux :
• Processus
• Bifurcations
• Autorisations
• Liens symboliques
• Démon
• 4.4 interprétation des données de journalisation des systèmes d'exploitation suivants pour identifier un événement :
• Syslog basé sur Unix
• Journaux d'accès Apache
• Journaux d'accès IIS
Certification en opérations de cybersécurité (suite)
Ce chapitre couvre les domaines suivants en matière de certification en opérations de cybersécurité :
210-255 SECOP - Mise en œuvre des opérations en cybersécurité Cisco :
 Domaine 1 : analyse des menaces sur les terminaux et analyses informatiques

• 1.5 Définition des termes suivants en relation avec le système de fichiers Linux :
• EXT4
• Journalisation
• MBR
• Système de fichiers d'échange
• MAC

Cyb 03

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cyb 03

Transféré par

Droits d'auteur :

Formats disponibles

Chapitre 3 : Système

Cybersecurity Operations v1.1

 3.2 Administration de Linux

 3.3 Hôtes Linux

 La distribution Kali Linux regroupe de nombreux

man Permet d'afficher la documentation d'une commande spécifique.

 Le logiciel client est conçu pour communiquer avec le serveur.

Numéro de port par défaut Service

 Les applications client sont utilisées pour un protocole bien défini :

 Réduire le nombre de packages installés

 Désactiver les services inutilisés

 Utiliser SSH et désactiver l'identifiant du compte racine (root) via SSH

 Mettre le système à jour régulièrement

 Désactiver la détection automatique USB

 Imposer l'utilisation de mots de passe forts

 Modifier régulièrement les mots de passe

 Empêcher les utilisateurs de réutiliser d'anciens mots de passe

 Consulter régulièrement les journaux

 Linux propose les types de journaux suivants :

• Journaux Journal Objectif

 Utilisateur : autorisation du propriétaire du fichier

 Groupe : autorisation d'un groupe pour un fichier

 Lecture : autorisation de consulter le contenu d'un fichier

 Écriture : autorisation de modifier le contenu d'un fichier

 Exécution : autorisation d'exécuter ou de lancer un fichier (scripts et programmes)

• Pointe vers le même emplacement que le fichier d'origine.

• Utilise l'option -s dans la commande pour créer le lien symbolique.

• Il est plus difficile de localiser les liens matériels.

 Il propose des fonctions qui permettent de dessiner et de

 X fonctionne comme un serveur et peut envoyer la

 X ne spécifie pas l'interface utilisateur ni le poste de

 Gnome et KDE sont des exemples de gestionnaires

 Lanceur d'applications : sert de lanceur

 Liste rapide : cliquez avec le bouton droit

 Boîte de recherche Dash : contient l'outil

 Menu système et notifications : Sert à

 la barre verticale (|)

 Les barres verticales permettent

 Arch Linux utilise le gestionnaire de

 Les services sont gérés à l'aide de fichiers de configuration.

 Le renforcement de la sécurité des appareils implique l'implémentation de méthodes éprouvées de

 Types et emplacement des journaux de services utilisés à des fins de surveillance

 Le système reste à jour grâce à apt-get update et à apt-get upgrade.

 Affichage des processus et des bifurcations en cours d'exécution dans la mémoire.

 L'utilisation de chkrootkit pour rechercher les rootkits connus sur l'ordinateur.

210-250 SECFND - Comprendre les principes fondamentaux de la cybersécurité Cisco :

 Domaine 4 : analyse d'hôte

210-255 SECOP - Mise en œuvre des opérations en cybersécurité Cisco :

 Domaine 1 : analyse des menaces sur les terminaux et analyses informatiques

Vous aimerez peut-être aussi