[résolu] pare-feu inactif sous Lubuntu 16.04 LTS

[Glenic]

Bonjour,
Suite à un contrôle de routine, je découvre que le pare-feu est inactif sur mon vieil ordinateur ThinkPad de 2005 (environ) équipé de Lubuntu 16.04 LTS, régulièrement mis à jour.

En effet la commande

Code : Tout sélectionner

sudo ufw status

qui renseigne sur l'état du pare-feu renvoie l’indication ci-dessous.

2021-01-25-pare-feu inactif.png (20.81 Kio) Vu 3994 fois

Lubuntu est installé depuis au moins 2 ans sur cet ordinateur et je ne m’étais jamais préoccupé de vérifier le pare-feu, pensant qu’il était automatiquement installé et activé avec l’installation de la distribution. Il n’en est rien !
Heureusement la commande ultra-simple

Code : Tout sélectionner

sudo ufw enable

permet de régler le problème :

2021-01-25-sudo ufw enable.png (25.76 Kio) Vu 3995 fois

et la commande

Code : Tout sélectionner

sudo ufw status verbose

en révèle un peu plus

2021-01-26-sudo ufw status verbose.png (34.32 Kio) Vu 3993 fois

(en français : par défaut ->trafic entrant refusé, trafic sortant autorisé, trafic routé pas en service)

Maintenant que je suis tranquillisé sur l’état du pare-feu, il reste quand même à contrôler qu’aucun vers ou cheval de Troie ne s’est glissé dans cet ordinateur sans pare-feu depuis plusieurs mois.
On sait bien que Linux est en principe insensible aux virus qui circulent mais un cheval de Troie, par exemple, ce n’est pas le même risque.

Comment faire ce contrôle ?

[patoo45]

bonsoir, un début de réponse : https://doc.ubuntu-fr.org/antivirus et https://debian-facile.org/doc:systeme:s ... sous-linux
Sinon ce logiciel libre peut faire l'affaire pour les virus : (source wikipédia)

ClamAV (terminal) et ClamTk (interface graphique) sont des antivirus libres et gratuits

!! attention, le serveur du forum ou les paramètres du forum ne sont à la bonne date.

[Glenic]

Bonsoir Patoo45,
Excellents les liens que tu m'as indiqués !
Je viens d'en prendre connaissance.
Mais il me faudra un peu de temps pour en profiter complètement.
Pour l'instant, j'en retiens que le risque d'attaque est faible sur les ordinateurs personnels mus par Linux. Il est plus important pour les serveurs sous Linux mais ce n'est pas mon cas.

[maxoxo]

Maintenant que je suis tranquillisé sur l’état du pare-feu, il reste quand même à contrôler qu’aucun vers ou cheval de Troie ne s’est glissé dans cet ordinateur sans pare-feu depuis plusieurs mois.
On sait bien que Linux est en principe insensible aux virus qui circulent mais un cheval de Troie, par exemple, ce n’est pas le même risque.

Hello,

Cela me rappelle un échange que nous avons eu tous les deux il y a quelques jours. En réalité, tu peux dormir tranquille, les risques sont marginaux dès lors que tu n'as jamais installé de paquet/applications hors des dépôts ou sites officiels.

Sans vouloir t'inquiéter, le pare-feu n'empêche pas à lui seul les chevaux de Troie. Un pare-feu a pour fonction d'empêcher la transmission de paquets en entrée ou en sortie sur certains ports ou protocoles. Tel que ton UFW est réglé là, il autorise tout le trafic sortant et refuse tout le trafic entrant. C'est déjà ce que fait le pare-feu de ta box (ou a minima le NAPT si elle n'a pas de pare-feu intégré). Par conséquent, on ne peut pas vraiment dire qu'en ayant paramétré ainsi UFW tu aies réellement augmenté ton niveau de protection.

Je te donne un exemple concret : si tu attrapes un cheval de Troie, il ne pourra pas ouvrir ouvrir de ports pour faire entrer des données vers ta machine. En revanche, autant dans la configuration de ton UFW que dans celle de ta box (que je présume être par défaut), le trafic sortant est totalement autorisé donc ce cheval de troie pourrait tout à fait effectuer des requêtes vers l'extérieur et transmettre des données vers les serveurs appartenant à ces créateurs. Ils peuvent aussi consulter une ressource sur ce serveur extérieur et exécuter des commandes spécifiques en fonction du contenu de cette ressource.

Ce que tu as fait sur UFW reste toutefois une pratique recommandée, si elle n'apporte pas grand chose quand tu es derrière ta box, elle est utile lorsque tu connectes ton ordinateur ailleurs. Tu ne sais jamais comment peuvent être configurés les points d'accès. Si tu te connectes à un réseau mal protégé où le trafic entrant d'Internet est autorisé par défaut, UFW protégera ta machine.

Si vraiment tu veux élever à fond le niveau de sécurité de ta machine, tu peux entrer dans une logique où tu n'autorises dans UFW en sortant que les protocoles/services que tu utilises réellement. Par exemple HTTP/HTTPS (ports 80 et 443 pour le web). Je pense que ça n'est pas utile pour un particulier dans un environnement classique et cela apporte beaucoup de contraintes. Dans une telle configuration, beaucoup de choses ne fonctionneront pas tant qu'elles ne seront pas autorisées expressément côté pare-feu.

Pour conclure et reprendre mes propos rassurants d'ouverture, en utilisant une distribution GNU/Linux reconnue, un navigateur à jour, en installant les paquets uniquement depuis des sources officielles et enfin en évitant d'ouvrir les pièces jointes étranges : tu rends marginal le risque d'être victime d'un programme malveillant. Aujourd'hui, tu as à mon sens plus de risques d'être la malheureuse victime d'une tentative hameçonnage (phising) ou la victime collatérale du piratage d'un site que tu utilises.

Ah et une petite astuce en passant, il existe une interface graphique pour UFW, elle s'appelle GUFW et le paquet est disponible sur quasiment toutes les distributions (bon tu t'en doutes, perso je n'utilise que la ligne de commande )

[Glenic]

Bonjour Maxoxo,
Un grand merci pour ces détails complets plutôt rassurants.
Coté pare-feu je vais donc en rester là pour l'instant.

Sur mon ordi ancien (environ 2005 !) je mets à jour Lubuntu 16.04 dès qu'on me le propose via la veille Lubuntu. Les mises à jour comprennent aussi celle de Firefox en version canonical.
L'accès à Internet se fait toujours via la Freebox standard sans paramétrage spécial. Mon ordinateur, quoique portable au vrai sens du terme (petit), ne voyage quasiment jamais, mais ça peut arriver.

Côté navigation Internet et messagerie (Thunderbird) je suis plutôt du genre prudent et je me méfie beaucoup des pièces jointes bizarres et des téléchargements en dehors des sites reconnus.
Cela ne m'a pas empêché de subir une fois un hameçonnage bien réalisé, heureusement sans conséquence car détecté de suite (grâce à l'URL fantaisiste) après la saisie trop rapide que j'avais faite ; ça m'a servi de leçon.

Quant à Gufw il est installé par défaut dans Mint, mais pas dans Lubuntu.

[patoo45]

Je dirais même plus, comme les Dupond, cela mérite le wiki