Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3077 connectés 

 


 Mot :   Pseudo :  
 
 Page :   1  2  3  4  5  6
Page Suivante
Auteur Sujet :

[Topic Unik] Securiser sa passerelle internet :)

n°511134
nicephore1​7
Un cinglé parmis les fous
Posté le 27-06-2004 à 17:03:39  profilanswer
 

Reprise du message précédent :
Une question bête: le 2.6.7 est stable?


---------------
Mac Pro powered (sorry)
mood
Publicité
Posté le 27-06-2004 à 17:03:39  profilanswer
 

n°511135
mikala
Souviens toi du 5 Novembre...
Posté le 27-06-2004 à 17:04:38  profilanswer
 

pourquoi il ne serait pas stable ?
tu as regardé www.kernel.org ?

n°511136
Popop56
56
Posté le 27-06-2004 à 17:04:42  profilanswer
 

The latest stable version of the Linux kernel is:  2.6.7
Faut croire :)

n°511142
nicephore1​7
Un cinglé parmis les fous
Posté le 27-06-2004 à 17:19:24  profilanswer
 

Je peux compiler le 2.6.7 avec le .config du 2.6.6?


---------------
Mac Pro powered (sorry)
n°511143
mikala
Souviens toi du 5 Novembre...
Posté le 27-06-2004 à 17:30:57  profilanswer
 

make menuoldconfig

n°548724
Tomate
Posté le 30-08-2004 à 10:13:43  profilanswer
 

up mon beau topic :)


---------------
:: Light is Right ::
n°555739
Sidounet
Posté le 11-09-2004 à 21:23:54  profilanswer
 

:bounce:  
 
Ma participation, un excellent site qui rappelle les bases des protocoles, la sécurisation en générale, les outils de scan et le maniement d'iptable.
 
http://olivieraj.free.fr/fr/linux/ [...] /firewall/


Message édité par Sidounet le 11-09-2004 à 21:25:01
n°555862
Tomate
Posté le 12-09-2004 à 13:14:53  profilanswer
 

ajouté ;)


---------------
:: Light is Right ::
n°575179
tuxy_co_ps​ylo
Mangez-Moi !! <8-)
Posté le 19-10-2004 à 00:12:33  profilanswer
 

yes pas mal le topic^^
hum ca serait possible d'avoir des indications sur les modules.. j'ai lu que niveau securité en fait c'etait pas geniale , et, suivant les site, les avis diverge sur un support en dur ou en module.
Et si vous avez des bon liens ou des conseils, meme si ca sort un petit peu du cadre d'une passerelle, ca serait pour avoir une bonne politique de gestion des utilisateurs de confiance (autre que les services), et des autres.


Message édité par tuxy_co_psylo le 19-10-2004 à 00:13:34
n°575185
multani-1
Posté le 19-10-2004 à 00:50:29  profilanswer
 

Le problème des modules, si j'ai bien compris, c'est qu'un utilisateur "malveillant" peut créer un faux module, qui modifie le comportement du noyau, pour ouvrir une backdoor, ou autre, et qu'il peut ensuite le charger (si le support pour module est activé dans le noyau ...)

mood
Publicité
Posté le 19-10-2004 à 00:50:29  profilanswer
 

n°575186
bugsan
Posté le 19-10-2004 à 00:56:38  profilanswer
 

si un utilisateur malveillant peut lancer un module backdoor, c'est qu'il est en root, et ca déjà, c'est pas normal.

n°575224
Tomate
Posté le 19-10-2004 à 09:24:58  profilanswer
 

bugsan a écrit :

si un utilisateur malveillant peut lancer un module backdoor, c'est qu'il est en root, et ca déjà, c'est pas normal.

effectivement


---------------
:: Light is Right ::
n°577032
minipouss
un mini mini
Posté le 21-10-2004 à 15:43:02  profilanswer
 

ça vous intéresse ça? Même si c'est un risque local?
 
(je l'avais mis dans mon topic Sécurité Windows sans faire gaffe que c'était des drivers linux).
 
## Vulnérabilité locale dans driver modem SpeedTouch USB ## Speedtouch USB Driver Format String Flaw May Let Local Users Execute Arbitrary Code Alerte Security Tracker 20/10/2004 et Speedtouch USB Driver Privilege Escalation Vulnerability Secunia Advisories 21/10/2004
Versions touchées : tous les drivers versions 1.x (=<1.3)
Description :

Citation :

The vendor reported that the modem_run, pppoa2, and pppoa3 functions make an unsafe syslog() call. A local user may be able to invoke the driver to cause format string characters to be passed to syslog(), potentially resulting in arbitrary code execution. The code will run with the privileges of the driver, which may have set user id (setuid) privileges on some systems

Citation :

Successful exploitation may potentially allow execution of arbitrary code with escalated privileges.


Solution : passer à la version 1.3.1 juste sortie pour corriger ce défaut à l'adresse http://speedtouch.sourceforge.net/ [...] ad.fr.html

n°577033
mikala
Souviens toi du 5 Novembre...
Posté le 21-10-2004 à 15:44:49  profilanswer
 

you're welcome :o


---------------
Intermittent du GNU
n°577034
Tomate
Posté le 21-10-2004 à 15:45:41  profilanswer
 

tout est bon à prendre :)
 
par contre vous pensez que je le mets en 1ère page ?


---------------
:: Light is Right ::
n°577036
minipouss
un mini mini
Posté le 21-10-2004 à 15:46:15  profilanswer
 

moi je ne sais pas je ne suis pas (encore) de là [:ddr555]

n°577037
Tomate
Posté le 21-10-2004 à 15:46:42  profilanswer
 

:D


---------------
:: Light is Right ::
n°577932
minipouss
un mini mini
Posté le 22-10-2004 à 15:33:38  profilanswer
 

et hop un problème de grammaire html concernant plusieurs navigateurs  
 
## Problèmes de grammaire HTML ## Web browsers - a mini-farce SecurityFocus Bugtraq 18/10/2004
Logiciels testés : Opera , Mozilla/Mozilla Firefox , Lynx (Linux Unix) et Links (Linux Unix)
Description : Michal Zalewski a testé différents navigateurs Web

Citation :

The tool generates only basic HTML - no stylesheets, no scripts, mostly no browser-specific features

Cela lui a permis de faire "crasher" certains navigateurs avec de simples commandes html. IE a résisté mais comme le dit l'auteur

Citation :

This is of course not to say MSIE is more secure; it does have a number of problems, mostly related to its security architecture and various features absent in other browsers. But the quality of core code appears to be far better than of its "secure" competitors.

on peut trouver les exemple pour ces navigateurs (et d'autres uniquement Linux et Unix) à l'adresse suivante  http://lcamtuf.coredump.cx/mangleme/gallery/
Solution : pas de solution malheureusement (j'ai testé un lien avec Firefox et boum un crash :( ) mais cela ne semble pas potentiellement dangereux, c'est pourquoi pour le moment Secunia n'en a pas parlé ;)

n°577939
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 22-10-2004 à 15:41:52  profilanswer
 

[:rofl]


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
n°577940
Tomate
Posté le 22-10-2004 à 15:42:03  profilanswer
 

ok c'est juste un bug mineur donc :)


---------------
:: Light is Right ::
n°577941
Tomate
Posté le 22-10-2004 à 15:42:23  profilanswer
 

JoWiLe a écrit :

mettez à jour PHP 4.3.4 [:ddr555]

oue pas bête je vais le mettre en 1ère page ça ;)


---------------
:: Light is Right ::
n°577944
Tomate
Posté le 22-10-2004 à 15:44:49  profilanswer
 

1er post updaté pour php 4.3.4 avec une spéciale dédicasse pour notre jowile :D


---------------
:: Light is Right ::
n°577980
mikala
Souviens toi du 5 Novembre...
Posté le 22-10-2004 à 16:18:23  profilanswer
 

utiliser le Trusted Path Execution :o


---------------
Intermittent du GNU
n°577986
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 22-10-2004 à 16:24:08  profilanswer
 

JoWiLe a écrit :

installer des vérificateurs d'intégrité genre tripwire


 
et des sondes :o


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
n°577996
void_ppc
Posté le 22-10-2004 à 16:36:19  profilanswer
 

Perso sur ma passerelle :
 

  • / en lecture seule, pour mettre rw faut reboot (nécessaire pour faire la moindre modif ou  mise à jour, mais je vois mal comment faire mieux niveau protection du fs), de plus je me connecte dessus par l'intermédiaire du port série, donc pas besoin de sshd.


  • logs exportés sur une machine différente (syslog-ng)


  • suppression de l'uid nul de root (bah oui, root n'est que le nom, ce qui est important c'est l'uid), sachant que pas mal de trucs brute-force vont d'abord essayer le compte root, et ne vont pas forcément chercher un compte avec uid=0


  • chiffrement de tout ce qui passe par cette passerelle à destination d'une machine de mon wan ou vers une machine de ma dmz (ca serait con de se faire sniffer les pass pop/imap/protocole non chiffré) à l'aide de vpn


  • snort qui tourne dessus pour le traffic


  • check des md5 de tous les binaire chaque heure avec un outil de ma fabrication (pour éviter les gens qui pourraient profiter d'une faille non-patchée d'un IDS répandu).


  • suppression de tous les binaires non-vitaux (bc, mt, less, cal, dos2unix, etc)


  • pas de support modules évidemment


  • multiples tests sur les logs pour déceler quelque chose de bizarre


  • link des ~.bash_history vers /dev/null  


  • tcp_wrappers pour tous les services réseau (au cas où)


  • restreindre l'accès 'root' à mort avec /etc/securetty


  • n'autoriser que certains user à passer 'root' avec su, par ex ceux du groupe wheel comme sur freebsd, évidemment ne pas prendre wheel comme groupe :D


  • sûrement d'autres trucs par la suite...


Je sais que je devrais mettre un truc genre grsec, mais comme je suis dans ma phase découverte du noyau, j'aimerai bien faire des modifs personnelles...donc à l'abri d'une éventuelle faille connue de grsec ( ce dont je doute :D), et je suis conscient que je peux même rajouter une faille sans faire gaffe, mais bon.
 

  • modifs noyau perso dans les mois (années :D ?) à venir


Message édité par void_ppc le 22-10-2004 à 16:37:04
n°577997
vanilla
datoune's revival
Posté le 22-10-2004 à 16:36:38  profilanswer
 

[:drapal]  [:delarue4]


---------------
Membre du Front de Libération de Datoune | Soutenez le FLD | A Tribute To Datoune
n°577998
mikala
Souviens toi du 5 Novembre...
Posté le 22-10-2004 à 16:39:16  profilanswer
 

void_ppc a écrit :

Perso sur ma passerelle :
[..]


Be a Man , use RBAC :o
(et fais donc un joli tutô en passant tiens :D )


---------------
Intermittent du GNU
n°578002
Tomate
Posté le 22-10-2004 à 16:48:27  profilanswer
 

mikala a écrit :

Be a Man , use RBAC :o
(et fais donc un joli tutô en passant tiens :D )

oue clairement :D


---------------
:: Light is Right ::
n°578004
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 22-10-2004 à 16:49:50  profilanswer
 


 
ah ouais quand même :D


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
n°578008
vanilla
datoune's revival
Posté le 22-10-2004 à 16:53:07  profilanswer
 

Pour les gentooistes (ou non d'ailleurs)
 
http://www.gentoo.org/doc/fr/gentoo-security.xml


---------------
Membre du Front de Libération de Datoune | Soutenez le FLD | A Tribute To Datoune
n°578011
void_ppc
Posté le 22-10-2004 à 17:01:34  profilanswer
 

black_lord a écrit :

ah ouais quand même :D


 
plus tu fait de trucs plus tu découvre de nouvelles choses à faire :D

n°578018
Tomate
Posté le 22-10-2004 à 17:10:33  profilanswer
 

et en cas d'attaque nucléaire t'as prévu quelque chose ? :whistle:


---------------
:: Light is Right ::
n°578166
Mjules
Modérateur
Parle dans le vide
Posté le 22-10-2004 à 19:36:06  profilanswer
 

je sais pas si c'est déjà passé ici :
http://lwn.net/Articles/105570/
 
une revue de différente méthode pour limiter les attaques .
 
j'aime beaucoup le Stack Smash Protection. si j'avais une gentoo je crois que je recompilerais tout avec ça, et tant pis pour le réchauffement climatique


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
n°579630
minipouss
un mini mini
Posté le 25-10-2004 à 17:18:38  profilanswer
 

http://www.k-otik.com/news/2004102 [...] tPatch.php


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°579642
Tomate
Posté le 25-10-2004 à 17:33:14  profilanswer
 

:D


---------------
:: Light is Right ::
n°579997
minipouss
un mini mini
Posté le 26-10-2004 à 10:19:21  profilanswer
 

voila le détail (si vous y comprenez qque chose car moi je suis lui largué [:ddr555])
 
http://www.k-otik.com/news/FakeRedhatPatchAnalysis.txt


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°580003
mikala
Souviens toi du 5 Novembre...
Posté le 26-10-2004 à 10:22:19  profilanswer
 

bah c'est l'équivalent des mails a la con sous windows prétendant venir de chez Microsoft .


---------------
Intermittent du GNU
n°580006
minipouss
un mini mini
Posté le 26-10-2004 à 10:34:02  profilanswer
 

oui mais ce c'est ce que c'est censé faire à la Redhat niveau système que je pige pas c'est tout :)


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°720608
vomegaz
~Libriste & Gulden Draak fan~
Posté le 24-08-2005 à 11:09:30  profilanswer
 

j'aurais aimer avoir des infos sur Honeyd, est-ce vraiment utile de mettre ceci sur un server dns,web,ftp... ?
Je pause la question parce que les peu d article que j ai trouves sont mitigés alors je viens sonder par ici. :)
 
Si vous avez des tutos ou articles sur le sujet je suis prenneur.

n°724243
duch
Posté le 02-09-2005 à 10:14:06  profilanswer
 

je sais pas si ça a été dit mais voici quelques autres idées :
 
- utiliser cron.allow pour autoriser un nombre restreint de user à utiliser cron
- mettre une partie de son système de fichiers en read-only
- faire plusieurs partoches pour pas qu'on puisse bourrer le disque en faisant exploser les logs (ou autres...).
- utiliser le script Bastille Interactive pour renforcer les points qui auraient été oubliés (ne pas utiliser la fonction firewall iptables est mieux)
- faire un chkrootkit tout les jours
- faire des backups tous les jours (?)

n°725560
metabaron1
Posté le 05-09-2005 à 18:08:43  profilanswer
 

Bonjour j aurais une question sur FTP.
J ai iptables v1.2.11 sur mon routeur et la v1.2.9 sur un poste. Quand je fais un ftp a partir du poste sur un serveur exterieur, la connection ftp-data (SYN) arrive a passer le routeur avec l'etat RELATED, ce qui est normal. Par contre elle est vue sur le poste comme etant NEW et non pas RELATED. J'ai regardé les changelogs d'iptables et je n'ai rien vu a ce sujet. Est ce que quelqu'un saurait a quoi est due cette difference.
 
[EDIT]
J ai rien dis, fallait charger le module ip_conntrack_ftp :)
[/EDIT]


Message édité par metabaron1 le 05-09-2005 à 18:21:24
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4  5  6
Page Suivante

Aller à :
Ajouter une réponse
 

Sujets relatifs
Partager uine connexion internetDNS reseau local / internet ?
probléme de lecture de pages internet ????connexion internet mdk 9.1
besoin d'aide pour ma connexion Internetpartage connexion internet via le réseau intranet
[Mandrake9.1] Connection a internet , newbi j y arrive pas :/Désactivé pour de bon le partage de connexion Internet
Passerelle sous linux[Passerelle] - Envoi de mail lors de reconnexion de mon speedtouch usb
Plus de sujets relatifs à : [Topic Unik] Securiser sa passerelle internet :)


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR