Discussion :

[callele50]

Bonjour, j'ai récemment fait un audit de sécurité via le script Lynis qui me trouve plusieurs possible faille de sécurité sur le noyau, j'ai donc modifier les valeurs de certains problèmes via la commande sysctl mais après chaque redémarrage les valeurs se remettent par défaut.
Je vous envoie le résultat de la commande;
si je prend la premier problème il me semble que la commande adéquate est la suivante : sudo sysctl dev.tty.ldisc_autoload=0, je vérifie par la suite avec la même commande si la valeur à bien changer ce qui est le cas mais après un reboot le problème est toujours présent.

Avez vous déjà eu ce genre de problèmes où est-ce moi qui utilise la mauvaise commande ?

Merci pour vos réponses !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
[+] Kernel Hardening
------------------------------------
  - Comparing sysctl key pairs with scan profile
    - dev.tty.ldisc_autoload (exp: 0)                         [ DIFFÉRENT ]
    - fs.protected_fifos (exp: 2)                             [ DIFFÉRENT ]
    - fs.protected_hardlinks (exp: 1)                         [ OK ]
    - fs.protected_regular (exp: 2)                           [ OK ]
    - fs.protected_symlinks (exp: 1)                          [ OK ]
    - fs.suid_dumpable (exp: 0)                               [ DIFFÉRENT ]
    - kernel.core_uses_pid (exp: 1)                           [ DIFFÉRENT ]
    - kernel.ctrl-alt-del (exp: 0)                            [ OK ]
    - kernel.dmesg_restrict (exp: 1)                          [ DIFFÉRENT ]
    - kernel.kptr_restrict (exp: 2)                           [ DIFFÉRENT ]
    - kernel.modules_disabled (exp: 1)                        [ DIFFÉRENT ]
    - kernel.perf_event_paranoid (exp: 3)                     [ DIFFÉRENT ]
    - kernel.randomize_va_space (exp: 2)                      [ OK ]
    - kernel.sysrq (exp: 0)                                   [ DIFFÉRENT ]
    - kernel.unprivileged_bpf_disabled (exp: 1)               [ DIFFÉRENT ]
    - kernel.yama.ptrace_scope (exp: 1 2 3)                   [ OK ]
    - net.core.bpf_jit_harden (exp: 2)                        [ DIFFÉRENT ]
    - net.ipv4.conf.all.accept_redirects (exp: 0)             [ DIFFÉRENT ]
    - net.ipv4.conf.all.accept_source_route (exp: 0)          [ OK ]
    - net.ipv4.conf.all.bootp_relay (exp: 0)                  [ OK ]
    - net.ipv4.conf.all.forwarding (exp: 0)                   [ OK ]
    - net.ipv4.conf.all.log_martians (exp: 1)                 [ DIFFÉRENT ]
    - net.ipv4.conf.all.mc_forwarding (exp: 0)                [ OK ]
    - net.ipv4.conf.all.proxy_arp (exp: 0)                    [ OK ]
    - net.ipv4.conf.all.rp_filter (exp: 1)                    [ DIFFÉRENT ]
    - net.ipv4.conf.all.send_redirects (exp: 0)               [ DIFFÉRENT ]
    - net.ipv4.conf.default.accept_redirects (exp: 0)         [ DIFFÉRENT ]
    - net.ipv4.conf.default.accept_source_route (exp: 0)      [ DIFFÉRENT ]
    - net.ipv4.conf.default.log_martians (exp: 1)             [ DIFFÉRENT ]
    - net.ipv4.icmp_echo_ignore_broadcasts (exp: 1)           [ OK ]
    - net.ipv4.icmp_ignore_bogus_error_responses (exp: 1)     [ OK ]
    - net.ipv4.tcp_syncookies (exp: 1)                        [ OK ]
    - net.ipv4.tcp_timestamps (exp: 0 1)                      [ OK ]
    - net.ipv6.conf.all.accept_redirects (exp: 0)             [ DIFFÉRENT ]
    - net.ipv6.conf.all.accept_source_route (exp: 0)          [ OK ]
    - net.ipv6.conf.default.accept_redirects (exp: 0)         [ DIFFÉRENT ]
    - net.ipv6.conf.default.accept_source_route (exp: 0)      [ OK ]

[disedorgue]

Bonjour,

Dans mes souvenirs, pour rendre permanent le changement, il faut mettre les valeurs voulues dans /etc/sysctl.conf

Et si tu veux qu'elles soient prises en compte sans rebooter: sysctl -p.

[callele50]

Les paramètres ip sont bon malgré ce qui est mis dans Lynis mais tous les autres paramètres du kernel ne sont pas dans le fichier, il est étonnant qu'avec sysctl on ne puisse pas modifier les valeurs, dans la documentation il est mis que l'on peut modifier à chaud ces données via cette même commande.

Je reviens sur cette discussion ci jamais je trouve une solution, je fais une recherche sur tous les fichiers de configuration pour trouver par mot clés les paramètres qui sont manquant.

[disedorgue]

Je ne comprend pas ta réponse, dans sysctl.conf, on peut mettre tous les parametres, pas uniquement ceux des ip...

[callele50]

Je ne comprend pas ta réponse, dans sysctl.conf, on peut mettre tous les paramètres, pas uniquement ceux des ip...

Les paramètres que je veux changer ne se situe pas dans le sysctl.conf, j'aimerais modifier les paramètres du kernel, j'ai tenter la modification de fs.protected_fifos en mettant la valeur 2, j'ai donc fais la commande suivante avec les droits sysctl -w fs.protected_fifos=2 ainsi que echo 2 > proc/sys/fs/protected_fifos, aucune de ces deux commandes ne m'indique d'erreur, j'ai vérifier que la valeur soit bien modifier avec sysctl mais après le redémarrage les valeurs sont de retour par défaut.
Je n'arrive tous simplement pas à modifier une valeur.

[disedorgue]

Bah, il est sur que si tu ne fais pas ce qu'on te dit et que tu te borne à lancer les mêmes commandes, ça ne marchera pas plus.

Alors, je te le refais:

1) tu prends ton editeur de texte préféré et tu édites le fichier /etc/sysctl.conf (pas /tmp/toto car ça ne fonctionnera pas ) pour lui rajouter la ligne:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

fs.protected_fifos=2

2) tu sauvegardes le fichier
3) tu peux lancer un:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sysctl -p

Et vérifier que la valeur à bien été prise en compte dans ton kernel
4) reboot

Si pas prise en compte après reboot, vérifie dans les fichiers que tu as peut-être dans le répertoire /etc/sysctl.d/ si le paramètre n'y est pas aussi redéfini.

[callele50]

Oui en effet , disons que je n'arrive pas à comprendre la logique, est ce que les paramètres du kernel contenu dans /proc sont liés par un lien au fichier sysctl.conf ?
Et pourquoi ne peut on pas directement les fichier contenu dans /proc ?

J'ai donc modifier le fichier sysctl pour fs.protected_fifos=2 et j'ai ajouter une ligne pour un autre paramètres qui est kernel.core_uses_pid, j'ai vérifier après le redémarrage et cela n'a pas fonctionner pour fs.protected_fifos=2 alors qu'il est bien inscrit dans sysctl.d, pour le paramètre du kernel cela à bien marcher.

[A3gisS3c]

Hello,

/proc et /sys sont des système de fichier en RAM. /proc concerne les processus, /sys le dialogue système avec le kernel.