[Précédent (date)] [Suivant (date)] [Précédent (sujet)] [Suivant (sujet)] [Index par date] [Index par sujet]

Re: Services et sécurité ?



> Bon j'essaie de sécuriser mon ordinateur le plus possible...
> J'ai installer Portsentry et logcheck pour vérifier les scan de
> ports et les entrées douteuses dans les logs. J'ai installer
> pmfirewall.  J'essaie de fermer le plus de port de communication
> possible et de services inutilisés.

> Aujourd'hui, j'ai eu quatre attaques sur le port 1080 (socks).  Il
> n'était pas désactivé dans le fichier /etc/services.

/etc/services n'est qu'une liste de noms pour des numéros de ports.
Ça n'a rien à voir avec l'activation en tant que tel.  Aussi bien
garder ce fichier intact.

> Toutefois, il me manque de connaissance :(
> Par exemple, il semble que gnus (lecteur de forum (Emacs )) est
> besoin du port nntp (119) ouvert.

Pas sur ta station qui est le client.  Sur le serveur, oui, mais ça
c'est chez ton fournisseur.

> Je l'avais commenté, netscape pouvais lire les groupes de
> discussions, mais pas gnus.

Si ton client lit /etc/services pour traduire nntp en 119, tu peux lui
nuire en enlevant cette ligne.  Le mieux est de la laisser, ça n'a
rien à voir avec la sécurité.

> Les besoins sur l'ordinateur son ceux d'usager maison  et non
> celui d'un serveur.

> Voici les services démarrés:

> amd

Automounter.  Pas vraiment dangereux, mais considère plutôt autofs
(plus moderne) si tu en as vraiment besoin.

> atd

Ok.

> crond

Ok.

> gated

Inutile, tu n'es pas un routeur.  À désactiver.

> gpm

Ok.

> indentd ?

identd.  Je le désactiverais.

> inet

Contrôle le daemon inetd qui écoute pour une foule d'autres services
dont les daemons ne peuvent écouter eux-même.  Pour une station
client, il se peut fort bien qu'aucun de ces services ne soient activés.
Dans un tel cas, il pourrait être désactivé.

> keytable

Ok.

> kudzu

Ok.

> named

Serveur DNS.  À désactiver.

> network

Ok.

> nfs ?
> nfslock ?

Partitions mountées et exportées par réseau (local).  À désactiver si
tu n'en as pas.

> pmfirewall

Ton firewall !

> portmap ?

Utile pour certains services RPC comme NFS et NIS.  Il se peut très
bien que tu ne les roules pas et que tu puisses le désactiver.

> postgresql ?

Une base de données.  Probablement à désactiver.  Sinon, assure-toi
que ton firewall ne laisse pas passer ses ports de façon à ce que
l'accès ne soit que local.

> random

Ok.

> routed ?

À désactiver.

> sendmail

Le daemon doit rouler pour vider ta queue de mails sortants, mais il
n'a pas à écouter sur le port 25 (à moins que tu utilises fetchmail
pour ré-injecter les mails localement dans le port 25).  Si tu n'as
pas besoin du port 25 et que tu as un Red Hat ou Mandrake, il faut que
DAEMON=no dans /etc/sysconfig/sendmail.  Si tu en as besoin, bloque le
port 25 pour limiter les connections à localhost avec ton firewall.

> syslog

Ok.

> xfs

Ok.

> Ça c'est la base.  Je suis un peu perdu aussi dans ce je peux
> désactiver dans /etc/services.  J'y vais un peu à taton.  Si il y
> une ane charitable qui peut m'aider dans ce processus, elle est la
> bienvenue ...

Encore une fois, /etc/services n'a rien à voir avec ça.  L'activation
se contrôle avec la commande /sbin/chkconfig (ou linuxconf) et le
contenu de /etc/rc.d, ainsi que /etc/inetd.conf (ou /etc/xinetd.conf
et /etc/xinetd.d/*).

Pour voir les ports ouverts sur ta station, en root :

        lsof -i -n -P

où -n s'assure que les adresses soient numériques et -P fait de même
pour les ports (toutes deux des options facultatives).  Pour une
station client, il ne devrait pas rester grand chose.


Charles