Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1901 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  [Debian] Woody fraichement installe, trop de port ouvert

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Debian] Woody fraichement installe, trop de port ouvert

n°127801
aurelboiss
Posté le 22-07-2002 à 18:38:19  profilanswer
 

Je vien juste de mettre la woody sur mon ordi et je vois que j'ai plein de ports ouverts. Mis a part les service que j'utilise
Telnet, VNC, SAmba, ftp (44224) comment virer les autres et surtout lesquels je peux virer en toute tranquilite.
@++

mood
Publicité
Posté le 22-07-2002 à 18:38:19  profilanswer
 

n°127810
djoh
Posté le 22-07-2002 à 18:48:47  profilanswer
 

aurelboiss a écrit a écrit :

Je vien juste de mettre la woody sur mon ordi et je vois que j'ai plein de ports ouverts. Mis a part les service que j'utilise
Telnet, VNC, SAmba, ftp (44224) comment virer les autres et surtout lesquels je peux virer en toute tranquilite.
@++




 
ah ça je peux t'aider, j'ai passé du temps quand je l'avais installé pour virer ce qui me plaisait pas
 
tu démarre en quel runlevel ?
 
sinon, on utilise plutot ssh que telnet normalement

n°127812
Jar Jar
Intaigriste
Posté le 22-07-2002 à 18:49:49  profilanswer
 

Commence par identifier les services qui ouvrent ces ports :
netstat -nlp --inet
 
Sinon, évite de laisser les ports telnet et VNC ouverts, ce sont des protocoles pas du tout sécurisés. Utilise plutôt SSH, en activant la translation de ports pour VNC.


---------------
« No question is too silly to ask, but, of course, some are too silly to answer. » -- Perl book
n°127815
aurelboiss
Posté le 22-07-2002 à 18:56:50  profilanswer
 

ouai telnet et vnc pas top secure je sais bien mais je connais pas ssh  :sarcastic: mais je vais m'y mettre. Sinon vnc je bloque les ports de l'exterieur via iptables sinon els autres ports sont:
9/tcp   discard
13/tcp  daytime
23/tcp  telnet
25/tcp  smtp
37/tcp  time
80/tcp  http
111/tcp  sunrpc
113/tcp  auth
515/tcp  printer
 
voila voila tout ca c en trop a mon gout :)
Apparament je suis en runlevel 2  (reseau + mode console)
 
@++

n°127819
Martinez
Posté le 22-07-2002 à 19:01:54  profilanswer
 

vires le inetd déjà
/etc/init.d/inetd stop
 
rm /etc/rc2.d/SXXinetd

n°127820
Martinez
Posté le 22-07-2002 à 19:02:49  profilanswer
 

vires sendmail aussi
meme procédure
 
apache aussi

n°127822
djoh
Posté le 22-07-2002 à 19:06:29  profilanswer
 

aurelboiss a écrit a écrit :

ouai telnet et vnc pas top secure je sais bien mais je connais pas ssh  :sarcastic: mais je vais m'y mettre. Sinon vnc je bloque les ports de l'exterieur via iptables sinon els autres ports sont:
9/tcp   discard
13/tcp  daytime
23/tcp  telnet
25/tcp  smtp
37/tcp  time
80/tcp  http
111/tcp  sunrpc
113/tcp  auth
515/tcp  printer
 
voila voila tout ca c en trop a mon gout :)
Apparament je suis en runlevel 2  (reseau + mode console)
 
@++




 
 
ls -l /etc/rc2.d
 
EDIT : bon en fait Martinez t'as quaziment tout dit. sauf que je ferais plutot un "update-rc.d inetd remove" plutot qu'un rm.
mais bon, c'est au choix hein  ;)


Message édité par djoh le 22-07-2002 à 19:08:57
n°127824
aurelboiss
Posté le 22-07-2002 à 19:11:24  profilanswer
 

voila le ls -l /etc/rc2.d/:
S10sysklog
S11klogd
S14PPP
S19nfs-common
S20dhcp
S20inetd
S20linuxconf
S20lpd
S20makedev
S20xfs
S20ssh
S89atd
S89cron
S91apahe
S99rmnologin
S99xdm
 
sachant que j'ai aussi besoin du dhcp et du http ;)
@++

n°127826
Martinez
Posté le 22-07-2002 à 19:13:05  profilanswer
 

djoh a écrit a écrit :

 
 
 
ls -l /etc/rc2.d
 
EDIT : bon en fait Martinez t'as quaziment tout dit. sauf que je ferais plutot un "update-rc.d inetd remove" plutot qu'un rm.
mais bon, c'est au choix hein  ;)



ouais c la méthode propre :)

n°127828
aurelboiss
Posté le 22-07-2002 à 19:14:12  profilanswer
 

thx les mecs   :jap:  
@++

mood
Publicité
Posté le 22-07-2002 à 19:14:12  profilanswer
 

n°127829
djoh
Posté le 22-07-2002 à 19:14:43  profilanswer
 

Martinez a écrit a écrit :

ouais c la méthode propre :)




 
oui  :D

n°127831
Martinez
Posté le 22-07-2002 à 19:16:11  profilanswer
 

update-rc.d inetd remove
update-rc.d apache remove
update-rc.d sendmail remove
update-rc.d nfs-common remove
update-rc.d lpd remove
update-rc.d cron remove
update-rc.d ppp remove
update-rc.d atd remove

n°127832
Martinez
Posté le 22-07-2002 à 19:16:27  profilanswer
 

peut etre que onpeut tout coller sur une meme ligne ...

n°127833
djoh
Posté le 22-07-2002 à 19:16:37  profilanswer
 

aurelboiss a écrit a écrit :

voila le ls -l /etc/rc2.d/:
S10sysklog
S11klogd
S14PPP
S19nfs-common
S20dhcp
S20inetd
S20linuxconf
S20lpd
S20makedev
S20xfs
S20ssh
S89atd
S89cron
S91apahe
S99rmnologin
S99xdm
 
sachant que j'ai aussi besoin du dhcp et du http ;)
@++
 




 
donc tu fais :
update-rc.d <daemon> remove
 
et tu remplace <daemon> par ce que tu as pas besoin
donc à priori : inetd, lpr, apache...


Message édité par djoh le 22-07-2002 à 19:17:08
n°127834
djoh
Posté le 22-07-2002 à 19:18:24  profilanswer
 

Martinez a écrit a écrit :

update-rc.d inetd remove
update-rc.d apache remove
update-rc.d sendmail remove
update-rc.d nfs-common remove
update-rc.d lpd remove
update-rc.d cron remove
update-rc.d ppp remove
update-rc.d atd remove




 
 
cron ?  :heink:  
 
pour le reste ... hmm atd je sais pas trop, moi je l'ai viré, ça fait un peu comme cron mais je sais pas si c'est tellement utilisé
et pour ppp ça depend si t'as une connection au net par ppp
 
pour le reste tu peux virer sans pb  :)

n°127835
Martinez
Posté le 22-07-2002 à 19:18:57  profilanswer
 

en utilisation workstation ce que j'ai cité est bon a virer...en général et sauf cas particulier

n°127836
djoh
Posté le 22-07-2002 à 19:21:27  profilanswer
 

Martinez a écrit a écrit :

en utilisation workstation ce que j'ai cité est bon a virer...en général et sauf cas particulier




 
cron est utilisé pour le log_rotate donc ça m'étonnerait que ce soit une bonne chose de le virer
de toute façon ça ouvre pas de port donc autant le garder

n°127839
Martinez
Posté le 22-07-2002 à 19:27:09  profilanswer
 

je sais bien mais je suis pas sur que logrotate soit installé par défaut avec debian... :??: je regarde

n°127840
Jar Jar
Intaigriste
Posté le 22-07-2002 à 19:28:29  profilanswer
 

9/tcp   discard
Tu peux laisser, c'est sans risque.
 
13/tcp  daytime
Idem, au pire tu le vires dans /etc/inetd.conf
 
23/tcp  telnet
BAAAAAAAAAAAAAAHHHHH
 
25/tcp  smtp
Tu peux laisser, exim est configuré par défaut pour n'accepter que les mails que tu envoies, ou ceux qui te sont destinés.
 
37/tcp  time
cf. daytime.
 
80/tcp  http
Bah ça, si t'en veux pas, tu vires Apache.
 
111/tcp  sunrpc
Faut virer nfs-common.
 
113/tcp  auth
Vire identd.
 
515/tcp  printer
Ça, c'est lpd. Normalement, il est configuré par défaut pour n'accepter que les connexions locales.
 
Il faut quand même éviter de virer des trucs dont tu peux avoir besoin...


---------------
« No question is too silly to ask, but, of course, some are too silly to answer. » -- Perl book
n°127842
aurelboiss
Posté le 22-07-2002 à 19:32:25  profilanswer
 

MDR quel con je suis j'ai vire inetd et pas identd on croyrai un newb .... j'fais comment pour le remmettre MDR un format et hop lol
@++

n°127843
djoh
Posté le 22-07-2002 à 19:33:27  profilanswer
 

Martinez a écrit a écrit :

je sais bien mais je suis pas sur que logrotate soit installé par défaut avec debian... :??: je regarde




 
si ça l'est
et vaut mieux d'ailleurs si tu veux pas remplir ta partoche /var

n°127844
djoh
Posté le 22-07-2002 à 19:34:56  profilanswer
 

aurelboiss a écrit a écrit :

MDR quel con je suis j'ai vire inetd et pas identd on croyrai un newb .... j'fais comment pour le remmettre MDR un format et hop lol
@++




 
 
man update-rc.d
update-rc.d inetd defaults
 
mais tu peux le virer
moi je l'ai virer, j'en ai pas besoin (ou alors j'ai pas compris à quoi ça sert, mais ça m'a pas posé de pb)


Message édité par djoh le 22-07-2002 à 19:35:13
n°127859
Martinez
Posté le 22-07-2002 à 19:59:40  profilanswer
 

c un super-serveur
il écoute aux ports auquel il est configuré, et si y a une connexion sur ce port il lance le service correspondant. ca évite d'avoir des processus résidents en mémoire (machines de faible puissance ou de forte charge par ex) et ca permet aussi de filtrer les connexion avec les hosts.allow et les hosts.deny !

n°127862
djoh
Posté le 22-07-2002 à 20:02:10  profilanswer
 

Martinez a écrit a écrit :

c un super-serveur
il écoute aux ports auquel il est configuré, et si y a une connexion sur ce port il lance le service correspondant. ca évite d'avoir des processus résidents en mémoire (machines de faible puissance ou de forte charge par ex) et ca permet aussi de filtrer les connexion avec les hosts.allow et les hosts.deny !




 
ben tant que les daemon sont en listen ils font pas grand chose, c'est pas ça qui va casser un pc de faible puissance
surtout s'il a pas de service à lancer
 
par contre je savais pas que ça avait un rapport avec les hosts.allow et les hosts.deny

n°127875
Martinez
Posté le 22-07-2002 à 20:24:34  profilanswer
 

ben une machine avec 16 ou 32 Mo de ram, tu lui lance sendmail, bind, apache, et 2 ou 3 autres conneries, et tous les trucs de base et y a pu de ram... :/
CQFD

n°127898
djoh
Posté le 22-07-2002 à 21:20:17  profilanswer
 

Martinez a écrit a écrit :

ben une machine avec 16 ou 32 Mo de ram, tu lui lance sendmail, bind, apache, et 2 ou 3 autres conneries, et tous les trucs de base et y a pu de ram... :/
CQFD




 
 
 :lol:  
tu te fais pas un serveur comme ça avec 16 ou 32 Mo de ram  :sarcastic:  
à part au bengladesh peut-être (bon d'accord, c'est de mauvais gout... :ange: )
 
EDIT : et je me repete mais c'est pas quand ils sont en listen qu'ils consomment bcp de ressources, mais quand ils gerent les requetes


Message édité par djoh le 22-07-2002 à 21:21:41
n°127906
Jar Jar
Intaigriste
Posté le 22-07-2002 à 21:30:11  profilanswer
 

djoh a écrit a écrit :

 :lol:  
tu te fais pas un serveur comme ça avec 16 ou 32 Mo de ram  :sarcastic:  
à part au bengladesh peut-être (bon d'accord, c'est de mauvais gout... :ange: )


J'ai un serveur NIS+NFS+Samba avec 32 Mo de RAM, et il n'a pas l'air de crouler sous la charge, puisqu'il reste la place pour un serveur X.


---------------
« No question is too silly to ask, but, of course, some are too silly to answer. » -- Perl book
n°127910
djoh
Posté le 22-07-2002 à 21:33:35  profilanswer
 

Jar Jar a écrit a écrit :

J'ai un serveur NIS+NFS+Samba avec 32 Mo de RAM, et il n'a pas l'air de crouler sous la charge, puisqu'il reste la place pour un serveur X.




 
 
oui mais ce que je veux dire c'est que ça depend de la charge qu'on lui impose, c'est pas en écoutant les ports qu'ils vont s'écrouler les serveurs de 32 Mo, pas plus que ceux de 16
 
la charge à supporter, ça dépend du nombre de connexions par seconde, et des requètes faites lors de ces connexions

n°127912
Jar Jar
Intaigriste
Posté le 22-07-2002 à 21:37:31  profilanswer
 

En plus, Jar Jar a écrit des conneries a écrit :

111/tcp  sunrpc
Faut virer nfs-common.


En l'occurrence, c'est plutôt portmap qu'il faut virer.


---------------
« No question is too silly to ask, but, of course, some are too silly to answer. » -- Perl book
n°127920
djoh
Posté le 22-07-2002 à 21:50:01  profilanswer
 

Jar Jar a écrit a écrit :

En l'occurrence, c'est plutôt portmap qu'il faut virer.




 
 :lol:  
c'est bien de le reconnaitre   ;)  
j'aurais dit ça aussi, mais apparemment, il n'est pas dans son /etc/rc2.d
 
c'est bien le runlevel 2 qui est mis par defaut sur la woody non ?

n°127922
Jar Jar
Intaigriste
Posté le 22-07-2002 à 21:52:36  profilanswer
 

djoh a écrit a écrit :

c'est bien le runlevel 2 qui est mis par defaut sur la woody non ?


Par défaut, c'est 3, mais les runlevels 2 à 5 sont équivalents chez Debian.


---------------
« No question is too silly to ask, but, of course, some are too silly to answer. » -- Perl book
n°127927
djoh
Posté le 22-07-2002 à 21:55:33  profilanswer
 

Jar Jar a écrit a écrit :

Par défaut, c'est 3, mais les runlevels 2 à 5 sont équivalents chez Debian.




 
ok  :jap:  
donc il a pas de script portmap mais sunrpc est lancé, c'est bizarre quand même ?
 
EDIT : ah mais chui con, c'est appelé par inetd ça justement, non ? (vu que j'ai virer tout ça des le debut, je sais plus trop bien qui fait quoi :D )


Message édité par djoh le 22-07-2002 à 21:57:05
n°127928
Jar Jar
Intaigriste
Posté le 22-07-2002 à 21:58:10  profilanswer
 

djoh a écrit a écrit :

donc il a pas de script portmap mais sunrpc est lancé, c'est bizarre quand même ?


La solution propre, c'est apt-get remove portmap.
 
Le portmapper ne sert que s'il y a du NIS et/ou NFS, et il ne sert à rien s'il est installé mais pas lancé...


---------------
« No question is too silly to ask, but, of course, some are too silly to answer. » -- Perl book
n°128001
aurelboiss
Posté le 23-07-2002 à 00:04:29  profilanswer
 

thx pour l'aide a tous les deux  :jap:  ch'suis un gros newb sous Debian en plus y'a plein de truc qui change avec MDKE..
Merci pour update-rc.d inetd defaults  :sol: ca va m'aider
@++

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs

  [Debian] Woody fraichement installe, trop de port ouvert

 

Sujets relatifs
Debian & package[DEBIAN] Alors, la sarge, elle va rapidemment avoir les packages sid ?
[Debian] C'est quoi la difference entre ces 2 ISO de la woody ???[Debian Woody] Question sur le Kernel.
[Debian] impossible de booter avec un disque fait par mkboot[debian woody] probleme kernel 2.4.18 et PPPoE
debian et apt-get 
Plus de sujets relatifs à : [Debian] Woody fraichement installe, trop de port ouvert


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR