[TUTO] Sécurisez son PC sous Linux avec Pombo

Vous avez peut-être déjà entendu parlé de Undercover, ce logiciel mouchard pour Mac qui permet de recenser les infos relatives à l’IP du voleur de PC, voire de le photographier avec sa webcam. Et bien il est un logiciel équivalent sous Linux : pombo.

Présentation de Pombo

Pombo repose sur un script Python initialement proposé par Sebsauvage (vous n’avez pas décemment le droit de ne pas le comprendre) et qui a été repris et mis à jour par BoboTiG. Ce script est publié sous licence zlib/libpng et nécessite Python 2.7 et PHP 4 (ou 5) pour fonctionner.

Celui-ci collecte :

  • Nom du système

  • Adresse IP publique

  • Date/heure

  • Information sur toutes les interfaces réseau (filaires et wireless), y compris l’adresse matérielle (MAC) du point d’accès WiFi auquel l’ordinateur est connecté.

  • Connexions réseau en cours

  • Informations sur les routeurs proches

  • La liste de tous les points d’accès WiFi proches, avec leur adresse matérielle (MAC), leur SSID et leur puissance.

  • Capture d’écran

  • Photo par la webcam (si vous en avez une)

 

Le principe de fonctionnement de Pombo est simple :

  • Sur l’ordinateur à protéger, un script Python envoi toutes les x minutes un rapports d’état du poste (contenant un rapport txt, une copie d’écran et une capture photo faite avec la webcam).

  • Sur un (ou plusieurs) serveur(s) PHP dont l’accès est protégé par mot de passe, le rapport – qui a été chiffré avec une clé gpg – le fichier est enregistré.

 

Voici un exemple de rapport par Pombo :

Pombo 0.0.6 report
------------------------------
Computer: Linux ubuntu 2.6.28-
------------------------------
Public IP: 82.124.224.94
------------------------------
Date/time: 2009-08-24 15:55:01
------------------------------
Network config:
eth0      Link encap:Ethernet
Rapport techniqueCapture d’écran
Photo par webcam

 

Teléchargement de Pombo

La dernière version de Pombo (version 0.0.7) est disponible au téléchargement ici. Pour un poste Linux, la solution pombo contient 3 fichiers à déployer : pombo.py et pombo.conf (partie client) et pombo.php (partie serveur).

Voici la procédure pour installer Pombo (testé sous Linux Mint 10 et Ubuntu 11.04, éprouvé par BoboTiG sous Debian) :

Installation des dépendances

Pour fonctionner, le script utilise, en plus de Python, les logiciel scrot (pour la capture décran), streamer (pour la capture par webcam), iw, netstat, ifconfig , traceroute (pour les informations relatives au réseau) et pngnq (pour réduire le poids des images png).

Il est donc nécessaire de commencer par installer ces différentes dépendances (même si par défaut la plupart sont déjà installée sur votre système), via ces commandes :

sudo apt-get install python scrot iw ifconfig streamer pngnq

 

Préparation de la partie serveur

PHP étant supporté par l’immense majorité des serveurs, Pombo récupère les rapports des postes via un script php. Ce script se nomme pombo.php. Dans le fichier pompo.php, il faut modifier la ligne $PASSWORD=’mysecret’; en remplaçant mysecret par le mot de passe désiré pour l’échange avec le client.


Puis, on upload le fichier pombo.php sur son serveur web gérant le PHP.

 

Préparation et installation de la partie client

1. Préparation de la clé gpg

Pombo crée des archives chiffrées avec une clé gpg, lesquelles seront copiées sur le serveur PHP. Nous allons donc commencer par créer une clé via cette commande :

gpg --gen-key

L’assistant de création de clé va nous demander le type de clé voulue, sa taille et sa durée de vie, les options par défaut sont très suffisantes (RSA, 2048, clé n’expire pas). Puis, l’utilitaire va nous demander un nom, une adresse mail et un commentaire. Puis, enfin, va nous demander une phrase de password. Notez cette phrase, elle sera nécessaire au déchiffrement des rapports.

Remarque : il est préférable de compliquer un maximum sa phrase de mot de passe en y mêlant majuscules, minuscules et caractères spéciaux. Par exemple : Clé DE cryPTage PouR PomBo crée en 2011!!

La clé va se générer, pour l’aider, il est conseiller d’utiliser son PC (taper des mots, jouer avec la souris, etc. etc.). Une fois la création de la clé terminée, la console devrait afficher la phrase clé 6D69703B marquée comme ayant une confiance ultime où 6D69703B est le KeyID de la clé. Notez ce KeyID, il sera nécessaire pour la suite.

On va à présent exporter la clé avec la commande gpg –export 6D69703B >clefpublique.asc, cela va créer un fichier clefpublique.asc dans votre dossier home. Cette clé sera nécessaire au déchiffrement de ses archives. Il est donc nécessaire de la sauvegarder précieusement (sur un poste autre que celui à protéger, cela va de soi).

Il faut maintenant installer en root (le script s’exécutant en tant que root) avec les commandes :

sudo su
gpg --import /chemin/vers/la/clé/publique.asc

(par exemple, dans mon cas : gpg –import clefpublique.asc )

 

2. Préparation du fichier de configuration

Les options de paramétrage de pombo se font via le fichier pombo.conf. Dans ce fichier, cherchez et renseignez les lignes suivantes :

[DEFAULT]
gpgkeyid=KeyID de la clé créée plutôt
password=Mot de passe spécifié sur le fichier pombo.php
serverurl=URL du fichier pombo.php - exemple : http://myserver.com/pombo.php
onlyonipchange=True ou False

Si la valeur de onlyonipchange est True, le script ne créera des rapports que si vous changez d’adresse IP : lors du premier fonctionnement, le script enregistrera l’IP publique dans /var/local/pombo et ne créera ensuite les rapports que si l’IP publique est différente. Si vous utilisez un réseau publique (par exemple, accès WIFI MacDo ou d’université), il est préférable de choisir la valeur False.

Remarque : il est possible de spécifier différents serveurs en les séparant pas une virgule (sans espaces).

 

3. Déploiement des fichiers

A présent, nous allons copier le fichier pombo.conf dans le dossier /etc/ :

cp pombo.conf /etc/

Maintenant, on attribue au fichier pombo.py, les droits nécessaires avec la commande :

chmod +x pombo.py

Puis on le copie dans le dossier /usr/local/bin/ :

cp pombo.py  /usr/local/bin/

 

4. Automatisation des scripts

Afin d’automatiser l’exécution des script, on crée une tâche dans la crontab. Pour cela on exécute la commande sudo crontab -e, on choisit son éditeur de texte et on insère dans la crontab la ligne suivante :

*/15 * * * * /usr/local/bin/pombo.py 2>/dev/null

 

5. Test de fonctionnement

Afin de s’assurer du fonctionnement du script pombo, on peut exécuter la commande suivante :

sudo -H /usr/local/bin/pombo.py

Si la console répond Server responded: File stored c’est que tout a fonctionné. Une archive zip chiffrée de quelques Ko a été uploadée sur le serveur PHP.

 

Déchiffrement des rapports

Le déchiffrement des archives zip des rapports se fait avec la commande :

gpg --output nomdefichierdésiree.zip --decrypt nomdelarchivecryptee.gpg

La clé de password utilisée lors de la création de la clé sera nécessaire au déchiffrement. Cela va créer un fichier zip contenant un rapport au format txt, une copie de l’écran du poste et une photo capture faite avec la webcam.

 

A présent, si un voleur dérobe votre ordinateur, vous pourrez obtenir différentes informations à son sujet (où il se connecte, son bouille, etc.) que vous pourrez communiquer à la police. Peut-être alors pourrez vous récupérer votre ordinateur ou savourer la satisfaction de savoir votre cambrioleur mis en examen. Ce qui moi m’a motivé à écrire cet article; c’est les mésaventure de Weedfast. D’ailleurs, je ne peux que vous encourager à répondre à son appel aux dons (après tout j’aimerai qu’on en ferait autant pour moi dans le même cas de figure).

Je tiens à féliciter Sebsauvage et BoboTiG pour leur dur travail pour la réalisation de Pombo. D’ailleurs, ce dernier a aussi adapté Pombo sous Windows, ce qui fera l’objet d’un prochain test. Si vous trouvez cette actuelle version compliquée d’installation, sachez que pour la version 0.8 devrait intégrer un installeur. Enfin, je tiens en la circonstance à particulièrement remercier BoboTiG pour sa disponibilité et son support.

Tuto disponible en téléchargement au format PDF :  [TUTO] Sécurisez son PC sous Linux avec Pombo (228)

Vus : 3105
Publié par Geek de France : 203