Vérifiez la sécurité de votre serveur Debian avec Debsecan
Lorsque nous installons un serveur Linux basé sur Debian, il est toujours fortement recommandé d’effectuer un durcissement complet pour protéger au maximum le système d’exploitation et tous les services. Au fil du temps, il y a toujours de nouvelles vulnérabilités dans les différents logiciels que nous avons installés, et même dans le noyau Linux lui-même. Grâce à un outil comme Debsecan, nous pouvons analyser complètement notre système d’exploitation, détectant les packages que nous avons installés et les failles de sécurité qui ont été trouvées. Aujourd’hui, dans RedesZone, nous allons vous montrer comment l’utiliser.
Installer Debsecan sur Debian
Cet outil n’est pas installé par défaut dans le système d’exploitation, nous devons donc l’installer manuellement via les référentiels officiels de la distribution. Pour l’installer, nous devons exécuter la commande suivante :
sudo apt install debsecan
Dans la capture d’écran suivante, vous pouvez voir tous les packages supplémentaires que vous devez installer pour que cela fonctionne correctement :
Une fois que nous l’avons installé, nous pouvons l’exécuter avec l’aide, afin qu’il nous dise quels arguments nous pouvons utiliser et quelles options nous disposons :
debsecan --help
Nous pouvons également exécuter les pages de manuel pour obtenir l’aide la plus complète de cet outil, pour ouvrir le manuel complet, exécutez simplement ce qui suit :
man debsecan
Comment fonctionne cet outil
Le fonctionnement de debsecan est vraiment simple, il suffit de lancer le programme avec l’argument de la version Debian que nous utilisons :
debsecan --suite buster
Une fois que nous exécutons cette commande, nous obtiendrons une liste de toutes les vulnérabilités qu’elle a eues ou qu’elle a dans cette version, ainsi qu’une description indiquant s’il y a peu d’urgence à la résoudre, si elle est déjà résolue, même si elle a peu d’urgence, ou s’il est simplement résolu le problème. Il nous montrera également si la faille de sécurité n’est pas corrigée, mais il l’a dans la base de données des vulnérabilités.
Nous avons la possibilité de configurer debsecan pour toujours utiliser la version de «Debian Buster» (celle que nous utilisons), sans avoir à la définir dans un argument. Pour ce faire, nous devons exécuter la commande suivante :
sudo dpkg-reconfigure debsecan
Et l’écran suivant apparaîtra, où nous devons choisir la version de notre distribution :
Si nous profitons de l’utilisation de cet assistant de configuration, nous pouvons également configurer debsecan pour nous envoyer automatiquement et une fois par jour, tout changement qui se produit dans les vulnérabilités par e-mail :
Ensuite, nous définirons notre adresse e-mail, et le système d’exploitation lui-même se chargera de nous envoyer un e-mail quotidien sur l’état de la sécurité du système. Il nous demandera également si Debsecan télécharge les informations de vulnérabilité depuis Internet, si le serveur n’est pas connecté à Internet, ou si nous ne voulons pas qu’il fasse de requêtes sur Internet, nous pouvons définir une URL avec les informations de vulnérabilité pour l’ajouter à sa base de données. Une fois configuré, on peut lancer debsecan sans avoir à mettre « –suite ».
Une commande très intéressante est la suivante :
debsecan --suite buster --only-fixed
Cette option répertorie les vulnérabilités pour lesquelles une solution est disponible, et nous devons mettre à jour le système d’exploitation pour les éliminer. Notez qu’une solution peut apparaître, même si le paquet n’est pas encore disponible dans le référentiel Debian pour la mise à jour ou l’installation. S’il apparaît vide, cela signifie que nous avons toutes les mises à jour et correctifs disponibles :
Si nous exécutons la commande suivante :
debsecan --format detail
Il nous montrera toutes les vulnérabilités corrigées ou non mais plus en détail, en plus, il nous montrera quelle version du logiciel a le problème de sécurité, et quelle version le résout, tant au niveau du patch instable que du référentiel principal . Il est possible que le patch soit dans le référentiel «instable» pendant des semaines ou des mois, il faut donc en tenir compte.
Dans les pages de manuel, nous pouvons voir plus en détail comment fonctionne la liste blanche. Imaginons que nous voulions mettre un certain package avec du code CVE dans une liste blanche, de manière à ce qu’il n’apparaisse jamais dans la liste des rapports, pour ce faire, nous devrons simplement exécuter ce qui suit :
debsecan --add-whitelist CVE-XXXX-XXXX
Nous devrons mettre le code CVE à ajouter à la liste blanche. Si nous supprimons quelque chose de la liste blanche, nous pouvons également le faire facilement, afin qu’il soit à nouveau inclus dans les rapports de vulnérabilité quotidiens.
Comme vous pouvez le voir, l’outil debsecan est très utile pour nous tenir informés de toutes les failles de sécurité qui sont trouvées et qui affectent notre système d’exploitation Debian, soit le système d’exploitation lui-même, soit les paquets que nous avons installés. Grâce à debsecan, nous pourrons recevoir des e-mails quotidiens avec des nouvelles concernant la résolution des vulnérabilités par l’équipe de développement des différents logiciels.
Enfin, en tant que mesure de sécurité fondamentale sur tout serveur, nous ne devons jamais installer de programmes ou de packages que nous n’utilisons pas, afin de minimiser la surface d’exposition à une vulnérabilité grave. Bien sûr, le durcissement du serveur est essentiel.
