Brèves de comptoir - Ai-je été hacké ? Qualité de mon fichier config sources.list ?
BMPCreated with Sketch.BMPZIPCreated with Sketch.ZIPXLSCreated with Sketch.XLSTXTCreated with Sketch.TXTPPTCreated with Sketch.PPTPNGCreated with Sketch.PNGPDFCreated with Sketch.PDFJPGCreated with Sketch.JPGGIFCreated with Sketch.GIFDOCCreated with Sketch.DOC Error Created with Sketch.
Frage

Ai-je été hacké ? Qualité de mon fichier config sources.list ?

P
Von
PatrickD74
Erstellungsdatum 2023-07-25 14:37:02 (edited on 2024-09-04 13:10:27) in Brèves de comptoir

Bonjour,

Depuis 15 ans j'administre un serveur dédié chez OVH (avec Debian, apache2, fail2ban, php, mariadb-server, phpmyadmin, proftpd, etc.) pour créer des activités pédagogiques pour mes élèves (je suis prof). Pour sécuriser mon serveur, j'ai un script quotidien automatique qui fait les mises à jour du système (AVEC apt-get update 2>&1 PUIS apt-get dist-upgrade --assume-yes 2>&1), un firewall fermé au maximum, un fail2ban actif, et des connexions SSL (https) pour mes élèves.

Avant hier mon serveur a rebooté SANS que je lui demande... J'ai 2 questions à ce propos :

1) Lorsque je regarde dans le fichier auth.log, je vois les lignes suivantes au moment du reboot :
Jul 23 16:34:02 ns[XXX] systemd-logind[940]: New seat seat0.
Jul 23 16:34:02 ns[XXX] systemd-logind[940]: Watching system buttons on /dev/input/event1 (Power Button)
Jul 23 16:34:02 ns[XXX] systemd-logind[940]: Watching system buttons on /dev/input/event0 (Power Button)
Jul 23 16:34:02 ns[XXX] sshd[1040]: Server listening on 0.0.0.0 port 22.
Jul 23 16:34:02 ns[XXX] sshd[1040]: Server listening on :: port 22.
Jul 23 16:34:03 ns[XXX] CRON[977]: pam_unix(cron:session): session opened for user root(uid=0) by (uid=0)
Jul 23 16:34:21 ns[XXX] CRON[977]: pam_unix(cron:session): session closed for user root

Ai-je été hacké ? Comment un reboot peut-il avoir lieu sans qu'on le déclenche ? Cela ne m'est jamais arrivé en 15 ans.


2) Dans mon fichier /etc/apt/sources.list, j'ai les lignes suivantes :
deb http://deb.debian.org/debian bullseye main
deb-src http://deb.debian.org/debian bullseye main
deb http://security.debian.org/debian-security bullseye-security main
deb-src http://security.debian.org/debian-security bullseye-security main
deb http://deb.debian.org/debian bullseye-updates main
deb-src http://deb.debian.org/debian bullseye-updates main
deb http://deb.debian.org/debian bullseye-backports main
deb-src http://deb.debian.org/debian bullseye-backports main

Ai-je un niveau de sécurité suffisant avec ces lignes ci-dessus dans /etc/apt/sources.list ? Ne devrais-je pas plutôt avoir _contrib non-free_ à la fin comme ceci ? :
deb http://deb.debian.org/debian bullseye main contrib non-free
deb-src http://deb.debian.org/debian bullseye main contrib non-free
deb http://security.debian.org/debian-security bullseye-security main contrib non-free
deb-src http://security.debian.org/debian-security bullseye-security main contrib non-free
deb http://deb.debian.org/debian bullseye-updates main contrib non-free
deb-src http://deb.debian.org/debian bullseye-updates main contrib non-free
deb http://deb.debian.org/debian bullseye-backports main contrib non-free
deb-src http://deb.debian.org/debian bullseye-backports main contrib non-free

Merci beaucoup par avance pour vos conseils car j'ai un sérieux doute maintenant sur l'efficacité de mes mises à jour quotidiennes des patchs de sécurité.

Patrick
Positive Bewertungen (0)
1019 Ansichten
2 Antworten ( Latest reply on 2023-07-26 07:02:01 Von
PatrickD74
)

Bonjour,

Je ne vois pas trop ce qui vous fait penser que vous avez été piraté.
Perso des machines qui ont reboot sans que je le demande ça m'est arrivé qq fois.

Vous pouvez lancer un Lynis sinon pour vous rassurer.
Hilfreich (0)
J

Bonjour,


Comment un reboot peut-il avoir lieu sans qu'on le déclenche ?

système OVH / tech OVH / problème électrique dans la baie / problème hardware qui fait reboot


Ne devrais-je pas plutôt avoir contrib non-free à la fin comme ceci ?

pourquoi ?
Si vous n'utilisez pas de package présent dans les dépôts "contrib" ou "non-free" il n'y a aucune raison que cela soit présent dans le fichier des sources.

Cordialement, janus57
Hilfreich (0)
P

Bonjour TTY,

Un GRAND MERCI à vous pour votre suggestion d'utiliser l'outil Lynis que je ne connaissais pas et qui est impressionnant. Je viens d'effectuer un "lynis audit system" et la conclusion est : _**Great, no warnings**_ avec **_58 suggestions_**. J'imagine que cette conclusion est plutôt rassurante et que le reboot n'a pas été effectué par un hacker ?

Concernant mon fichier /etc/apt/sources.list (mentionné précédemment), savez-vous s'il est optimisé tel quel pour protéger mon système (avec les patchs de sécurité) ?

Merci encore,
Patrick
Hilfreich (0)
P

Bonjour Janus57,

**Merci beaucoup** pour vos réponses précieuses et votre temps.

Cela me rassure de savoir qu'un reboot peut être déclenché par le système OVH / tech OVH / problème électrique dans la baie / problème hardware. C'est probablement ce qui est arrivé car un audit Lynis que je viens de réaliser n'a pas vu grand chose.

Je comprends pour l'utilité d'ajouter ou non "contributeurs" ou "non-free" and le fichier des sources. Comme je n'en utilise pas (à priori), alors je n'ai pas besoin d'ajouter cela.

Merci encore.
Patrick
Hilfreich (0)

An Diskussion teilnehmen