|
Dernière réponse | |
---|---|
Sujet : Sécurisé un peu un système linux | |
jotenakis | merci Dark_Schneider. l'astuce du lien marche. Il semble en effet que le fichier /etc/X11/xdm/Xservers ne soit plus lu par kdm. |
Aperçu |
---|
Vue Rapide de la discussion |
---|
jotenakis | merci Dark_Schneider. l'astuce du lien marche. Il semble en effet que le fichier /etc/X11/xdm/Xservers ne soit plus lu par kdm. |
Dark_Schneider | 1. mDNSResponder = support protocol RendezVous de Apple. KDE l'utilise
howl = support protocol RendezVous de Apple. Gnome l'utilise. 2. mdk est livré avec un assistant qui permet de configurer un firewall. draksec permet d'appliquer des vérification de sécu au niveaux des perms , etc ... notamment empécher les connexion root distante. http://doc.mandrivalinux.com/Mandr [...] urity.html 3. concernant OpenSSH, le mieux est d'utiliser une connexion par clé avec passphrase et de désactiver la connexion distante de root. De plus il faut désactiver le support pour la version 1 du protocol. 4. concernant X qui écoute, j'avais un thread sur cooker qui en parlait mais personne n'a fait attention ( "[Cooker] Latest kde ignoring "-nolisten tcp" option?" ). GDM fonctionne correctement mais KDM aurait un pb. http://qa.mandriva.com/show_bug.cgi?id=15759 |
jotenakis |
|
Christophe_35 | J'ai enleve les services sshd postfix portmap nfs nfslock
Voila ce que ca donne maintenant : netstat -latupn Connexions Internet actives (serveurs et établies) Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 5650/smbd tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 5314/X tcp 0 0 127.0.0.1:5335 0.0.0.0:* LISTEN 5452/mDNSResponder tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN 4669/cupsd tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 5650/smbd tcp 0 0 192.168.1.11:631 192.168.1.12:3730 ESTABLISHED 4669/cupsd tcp 0 0 192.168.1.11:631 192.168.1.12:3727 ESTABLISHED 4669/cupsd tcp 0 0 :::6000 :::* LISTEN 5314/X udp 0 0 192.168.1.11:137 0.0.0.0:* 5661/nmbd udp 0 0 0.0.0.0:137 0.0.0.0:* 5661/nmbd udp 0 0 192.168.1.11:138 0.0.0.0:* 5661/nmbd udp 0 0 0.0.0.0:138 0.0.0.0:* 5661/nmbd udp 0 0 0.0.0.0:68 0.0.0.0:* 4577/dhclient udp 0 0 0.0.0.0:5353 0.0.0.0:* 5452/mDNSResponder udp 0 0 0.0.0.0:631 0.0.0.0:* 4669/cupsd Il y en a un dernier que je peux peut etre enlever, mDNSResponder ? ca a apparemment un rapport avec un service reseau qui s'appelle HOWL, quelqu'un connait ? |
Mjules | tu le lances avec kdm ou gdm ? |
jotenakis | à ce propos pourquoi j'ai ça tcp 0 0 *:x11 *:* LISTEN root 17860 8187/X alors que X est lancé avec -nolisten tcp ? |
l0ky | shorewall est un firewall, il ne permet en aucune manière de configurer des services.
Certains services permettent une configuration fine quand aux interfaces d'écoute. SSH permet de spécifier quelles adresses utiliser par exemple. |
Mjules |
|
Christophe_35 | J'ai enleve le demon de mail qui ne me sert pas effectivement (c'etait bien master ?).
Pour le reste, je viens de réaliser que mon point d'accès wifi a un pare feu. Il fait un filtrage en entrée actuellement (il est possible de le mettre en sortie également..). Est ce que dans l'ensemble ca ne serait pas suffisant ? Autrement, pour la configuration de chaque service, ca peut se faire avec showrewall ? Pour l'utilisation de NFS, je ne sais pas trop, j'utilise samba pour partager une imprimante, est ce que cela utilise NFS ? |
Mjules | si il n'utilise pas NFS, il peut même carrément désactiver portmap
|
l0ky | Personnellement je te conseillerais, soit de fermer les services dont tu n'as pas besoin, soit de les configurer pour ne pas écouter sur ton interfaces connecté au net ou de mettre des règles iptables pour tout fermer coté net.
la tu as samba (partage de fichier windows), smtp (serveur de mail), cupsd (service d'impresion), portmap qui gère les appels RPC, et X (ton serveur graphique) qui écoute sur TOUTES tes interfaces... :/ Dans tout ca, il n'y a que ton serveur mail qui est succeptible d'avoir besoin le port 25 sur le net (si tu t'en sers réellement comme serveur mail) |
Christophe_35 |
|
l0ky | tu peux faire, en root netstat -latupn pour voir les services qui sont en écoute sur ta machine. |
Christophe_35 |
|
jlighty |
|
Christophe_35 | Non je n'ai pas mis de firewall, lequel je pourrai installer ?
d'un autre cote, c'est une machine qui est utilisee seulement comme client mail, un peu d'internet et skype .. Pour le service openssh non lance, cela empeche bien toute connexion distante ? |
jlighty | si tu veux être sûr à 100% qu'on ne peut pas se connecter à ton PC : déconnecte le du réseau :D
Plus sérieusement, as tu un firewall activé sur cette machine ou sur la connexion Internet ? Quels sont les services que tu utilises ? Apache ? ... |
Christophe_35 | Finalement, j'ai enleve le demarrage du service openssh. Cela bien impossible de se connecter sur cet ordinateur ? |
M300A |
|
M300A | Install logcheck |
jlighty | Le firewall est-il géré par le serveur ? |
Christophe_35 |
|
Christophe_35 |
|
dr-freuderick | Tiens on est pas vendredi :D
|
jlighty |
|
Christophe_35 | Bonjour, J'ai un pc avec LE 2005 qui est utilisé pour faire du mail, de l'internet, skype et partager une imprimante (client xp). Ayant lu sur ce forum que plusieurs d'entre vous ont des tentatives de connexion "pirates" sur leur linux, je voudrais securisé un petit peu le mien. Rien de bien sophistique mais qiuelques trucs simples. Je peux par exemple ne pas demarrer le demon openssh puisqu'il n'est pas utilise sur ce pc ? il y a t il d'autres choses simples a faire ? |