[Précédent (date)] [Suivant (date)] [Précédent (sujet)] [Suivant (sujet)] [Index par date] [Index par sujet]

Re: Services et sécurité ?



On Tue, Mar 06, 2001 at 10:03:39PM -0500, Dominic Mitchell wrote:
> 
> Bonjour,
> 
> Bon j'essaie de sécuriser mon ordinateur le plus possible...
> J'ai installer Portsentry et logcheck pour vérifier les scan de
> ports et les entrées douteuses dans les logs. J'ai installer
> pmfirewall.  J'essaie de fermer le plus de port de communication
> possible et de services inutilisés.

Quand on s'y prend bien, on fait l'inverse. On bloque tout et on
ouvre ce que l'on a besoin.

Bien que dans ce mail, j'ai pas l'impression que tu parles de regles
de firewall.

> 
> Aujourd'hui, j'ai eu quatre attaques sur le port 1080 (socks).  Il

Un des populaires Proxy pour Windows que les gens copient allegrement,
offre par default un service configuration depuis le reseaux mais
avec un mots de pass null je crois. Alors depuis, les script kiddy
s'en donnent a coeur joie.

Pour les gens de RedHat 6.2 et 7.0 et d'autre distribution, ils
devraient faire attention a Ramen:

http://www.cert.org/incident_notes/IN-2001-01.html
http://service1.symantec.com/sarc/sarc.nsf/html/Linux.Ramen.Worm.html

> n'était pas désactivé dans le fichier /etc/services.

?

Il ne faut pas toucher a /etc/services. C'est seulement une database
de nom de services. Elle est pratique et c'est pas ca qui va empecher
d'utiliser un service.

Il faut arreter les programmes qui offrent les services. 

C'est pas parce que quelqu'un essaye de se connecter sur le port
1080 de ta machine qu'il y a process qui ecoute sur le port.

Pour savoir les services actuellement offerts sur ta machine il
faut faire:

netstat -atu

Toute les lignes UDP sont des services que tu offres au monde.

Toute les lignes TCP en LISTEN sont des services que tu offres au
monde.

[Quand une entrees a un numero de port au lieu d'un nom des service,
c'est que le numero de port n'est pas defini dans la database
/etc/services.]

Ajoutes -n comme options pour n'avoir que des numeros d'afficher.

Pour savoir quel programme offre un service sur un port en particulier,
tu peux faire (sous "root", tu as plus de details):

Port TCP en LISTEN:     fuser -uv -n tcp 6000

Port UDP:               fuser -uv -n udp ntp

[oh, tu peux utilise un nom de service [quand ceux si sont encore
defini dans /etc/services] ou un numero de port, a ton gout.]

Pour ceux fourni par "inetd", il faut regarder dans /etc/inetd.conf.
Tu peux commenter tout les services que tu n'as pas besoin. "killall
-HUP inetd" pour faire appliquer les changements.

Pour les autres, regardes dans la documentation si tu en as vraiment
besoin. Pour les enlevers, cherche lequel de tes scripts /etc/init.d/
le demarre et empeche le de demarrer automatiquement.

> 
> Toutefois, il me manque de connaissance :(
> Par exemple, il semble que gnus (lecteur de forum (Emacs )) est
> besoin du port nntp (119) ouvert.  Je l'avais commenté, netscape
> pouvais lire les groupes de discussions, mais pas gnus.

Je connais pas Gnus ni Emacs. Moi j'utilise "slrn". Il est pas trop
pire.


> Les besoins sur l'ordinateur son ceux d'usager maison  et non
> celui d'un serveur.
> 
> Voici les services démarrés:
> 
> amd   
> atd  
> crond
> gated 
> gpm
> indentd ?
> inet
> keytable
> kudzu
> named
> network
> nfs ?
> nfslock ?
> pmfirewall
> portmap ?
> postgresql ?
> random
> routed ?
> sendmail
> syslog
> xfs

En principe, ils auraient du avoir des noms comme:

S99xfs
S30named

parce ce qu'il faut regarder dans /etc/rc?.d (ou ? est le initlevel
de la machine) pour savoir lesquel de ces scripts sont vraiment
utliser.


Ce que je parle ici, c'est de desactiver les services inutiles, je
ne parle pas du tout des regles ipchains (ou n'importe quel "saveur
de l'instant" que Linux utlise en ce moment) pour bloquer l'acces
a certain services.


Hugo Villeneuve