Demande d'info sur le serieux d'un site de "sécurité"

Bonjour,

J'essaie, via un script dans /etC/network/if-up.d/ de voir si une
machine existe sur le lan, et si oui, faire des actions.

Pour l'instant, j'arrive à faire un ping sur l'adresse de la machine et
voir s'il y a quelque chose à cette adresse ip.

Mais j'aimerais trouver, si le test du ping est bon, une information qui
me permette de dire que la machine est bien celle que je pense.

Je pensais essayer de récupérer le hostname à partir de l'adresse ip,
mais je n'y arrive pas.

Quelqu'un pourrait-il me dire comment faire?

Voici mon script jusqu'à présent:

IpAddressServeur="172.19.3.3"
ServeurPingRes="$(ping -n -c 1 $IpAddressServeur)"

# $RES AURA L'ADRESSE IP COMME VALEUR SI BON, VIDE SI PAS BON
Res="$(egrep -o "64 bytes from $IpAddressServeur" <<< $ServeurPingRes)"

if [ "$Res" ]
then
# CONFIRMER QUE C'EST BIEN LE BON ORDI A CETTE ADRESSE
????

else
# ON N'EST PAS SUR MON LAN -> RIEN FAIRE
exit 0
fi

Merci
Kenny

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

On Sun, Dec 13, 2009 at 07:42:35PM +0100,
Kenny <kenny@bruxxel.org> wrote
a message of 45 lines which said:

Mais j'aimerais trouver, si le test du ping est bon, une information qui
me permette de dire que la machine est bien celle que je pense.

Je pensais essayer de récupérer le hostname à partir de l'adresse ip,
mais je n'y arrive pas.

Ben, d'abord, c'est très mal de voler un fil de discussion
<http://www.bortzmeyer.org/ne-pas-voler-les-fils.html> et, ensuite,
j'avoue ne pas comprendre la démarche. Le nom qu'on obtiendra à partir
de l'adresse IP (a priori via une requête PTR dans le DNS) sera
toujours le même, que la machine soit la bonne ou pas. Le DNS n'a rien
à voir avec la vérité ou l'erreur, c'est juste une table de
correspondance.

Pour savoir si c'est la « bonne » machine, il n'y a pas d'autre
solution que de s'y connecter (par exemple en SSH qui, contrairement à
IP, a une notion d'identité).

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Le 13 décembre 2009 22:38, Stephane Bortzmeyer <stephane@sources.org> a écrit :

Pour savoir si c'est la « bonne » machine, il n'y a pas d'autre
solution que de s'y connecter (par exemple en SSH qui, contrairement à
IP, a une notion d'identité).

Il y a aussi l'adresse Ethernet qui n'est pas censé changer (ce qui
est faux, elle est modifiable) et qui peut servir d'identité basique
si on est pas trop regardant.

Kenny, je ne comprend pas ton besoin que dépend entièrement de ton
réseau existant :

* Tu veux identifier toutes les machines du réseau et tu les connais
toutes déjà ? Si tu connais leur adresses ethernet alors elles sont
déjà identifiées par ton serveur DHCP qui leur attribue toujours la
même adresse IP en fonction de leur adresse Ethernt et donc par ton
serveur DNS qui fait la correspondance IP <-> Nom.

* Tu veux identifier toutes tes machines en ne le connaissant pas ??
C'est absurde, sur quoi voudrais-tu te baser pour les reconnaitre : le
Hostame est modifiable, l'IP est modifiable, l'adresse Ethernet est
modifiable... Alors à moins qu'elles fassent partie d'un réseau que tu
gères et sur lequel personne n'a d'accès root, tu ne pourras pas les
identifier efficacement et si tu les gères toi même alors je ne vois
pas le besoin de les identifier avec le hostname puisque ton dns le
fait déjà.


Une identification ne peut exister qu'avec trois conditions :
* une entité globale attribue les identités à chaque entité individ uelle
* chaque entité individuelle montre son identité à qui le demande
* aucune entité individuelle n'a pas la possibilité de falsifier son id entité.

Dans la plupart des cas (dont le tiens je suppose) :
* l'identité globale est ton dns ou ton dhcp s'il existe
* chaque entité individuelle est un pc autonome et peut refuser ta
demande d'identification
* chaque pc peut falsifier son identité


Stéphane : IPSec est capable d'utiliser des certificats x509 je crois
non ? C'est peut être une piste pour Kenny ?


--
Kévin
Membre de l'April - « promouvoir et défendre le logiciel libre » -
http://www.april.org
http://identi.ca/khi - http://twitter.com/kh_i - http://system-linux.eu
Nick IRC : khi sur irc.mozilla.org - irc.debian.org - irc.freenode.net

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Le 14 décembre 2009 01:11, Kenny <kenny@bruxxel.org> a écrit :

Kevin Hinault wrote:

Le 13 décembre 2009 22:38, Stephane Bortzmeyer <stephane@sources.org> a
écrit :

Pour savoir si c'est la « bonne » machine, il n'y a pas d'autre
solution que de s'y connecter (par exemple en SSH qui, contrairement à
IP, a une notion d'identité).

Il y a aussi l'adresse Ethernet qui n'est pas censé changer (ce qui
est faux, elle est modifiable) et qui peut servir d'identité basique
si on est pas trop regardant.

Hooo..
On peut facilement retrouver l'adresse Ethernet d'une autre machine sur l e
réseau?
Ce serait magnifique ça..

[Je remets ce fil en public, tu m'as répondu en privé]

Si tu connais l'adresse Ethernet au préalable mais que tu veux par
exemple trouver l'ip qui lui corresponde tu peux utiliser le cache
arp. Normalement dans chaque machine le cache arp devrait contenir une
correspondance DNS/IP/Ethernet des différents pc avec lequel il à
récemment communiqué.
Mais tu peux faire des interrogations à ta guise avec arping par exemple :
arping -c 1 -i eth0 00:1a:a0:3a:ad:b4
puis
arp -a | grep "00:1a:a0:3a:ad:b4"
te donnera toutes les infos nécessaires (Adresse Ethernet à adapter).
Il semble que cette méthode ne soit pas parfaite non plus. Il doit y
avoir bien mieux pour faire des requêtes de type rarp mais je
n'utilise pas ce genre de technique tous les jours.

Il est aussi possible de scanner en utilisant l'excellent nmap qui
liste rapidement les hôtes du réseau et te donne adresse IP / Ethernet
/ DNS et même constructeur des cartes réseaux :
nmap -sP 192.168.1.0/24
(CIDR à adapter bien sûr)

--
Kévin
Membre de l'April - « promouvoir et défendre le logiciel libre » -
http://www.april.org
http://identi.ca/khi - http://twitter.com/kh_i - http://system-linux.eu
Nick IRC : khi sur irc.mozilla.org - irc.debian.org - irc.freenode.net

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Kevin Hinault wrote:

Le 14 décembre 2009 01:11, Kenny <kenny@bruxxel.org> a écrit :

Kevin Hinault wrote:

Le 13 décembre 2009 22:38, Stephane Bortzmeyer <stephane@sources.org> a
écrit :

Pour savoir si c'est la « bonne » machine, il n'y a pas d'autre
solution que de s'y connecter (par exemple en SSH qui, contrairement à
IP, a une notion d'identité).

Il y a aussi l'adresse Ethernet qui n'est pas censé changer (ce qui
est faux, elle est modifiable) et qui peut servir d'identité basique
si on est pas trop regardant.

Hooo..
On peut facilement retrouver l'adresse Ethernet d'une autre machine sur le
réseau?
Ce serait magnifique ça..

[Je remets ce fil en public, tu m'as répondu en privé]

oups..décidément..

Si tu connais l'adresse Ethernet au préalable mais que tu veux par
exemple trouver l'ip qui lui corresponde tu peux utiliser le cache
arp. Normalement dans chaque machine le cache arp devrait contenir une
correspondance DNS/IP/Ethernet des différents pc avec lequel il à
récemment communiqué.

C'est bien vérifier qu'à une adresse Ip, toujours la même, correspond
une adresse Eth.
Donc juste un arp 172.19.3.3 est nickel

Mais tu peux faire des interrogations à ta guise avec arping par exemple :
arping -c 1 -i eth0 00:1a:a0:3a:ad:b4
puis
arp -a | grep "00:1a:a0:3a:ad:b4"
te donnera toutes les infos nécessaires (Adresse Ethernet à adapter).
Il semble que cette méthode ne soit pas parfaite non plus. Il doit y
avoir bien mieux pour faire des requêtes de type rarp mais je
n'utilise pas ce genre de technique tous les jours.

arp fonctionne très bien, jusqu'à présent, excepté le petit délai qu'il
génère, mais bon, cela me convient bien tel quel.
La connexion réseau ne se fait pas toutes les 5 min non plus.

Je viens de faire quelques tests sur un desktop lenny et un laptop
ubuntu 9.04) avec mon nouveau script, et je dois dire que ça fonctionne
à merveille des 2 côtés.

J'ai débranché, rebranché, le cable, le wi-fi, tout fonctionne :)
Un vrai bonheur.

Juste que j'ai du ajouter un ping avant ma commande arp sinon elle
renvoyait "unknown host" à chaque fois.

J'ai mis mon script en bas du mail pour ceux que cela pourrait intéresser.

Il est aussi possible de scanner en utilisant l'excellent nmap qui
liste rapidement les hôtes du réseau et te donne adresse IP / Ethernet
/ DNS et même constructeur des cartes réseaux :
nmap -sP 192.168.1.0/24
(CIDR à adapter bien sûr)

Un tout grand merci pour votre aide.

C'est plein de joie que je vais me diriger vers mon lit..

Kenny


Script dans /etc/network/if-up.d/monscript:
#!/bin/sh

# VARIABLES
IpAddressServeur="172.19.3.3"
EthAddressServeur="00:11:85:62:53:e9"

NewResolvConfInfo="# RESOLV.CONF GENERATED BY QUENENNI'S SCRIPT INn#
/etc/networking/if-up.d/QuenenniResolvConfn#n# This script change the
resolv.conf only if you are connected to $ProjectName networkn# It will
let your resolv.conf untouched if notnn"
NewResolvConf="search mondomainennameserver 172.19.3.3nnameserver
172.19.3.1"

# PING D'ABORD SINON ARP RENVOIE AUTO PAS BON
ServeurPingRes="$(ping -n -c 1 $IpAddressServeur)"

# TEST ARP SUR L'ADRESSE DU SERVEUR
ServeurPingRes="$(arp $IpAddressServeur)"

# TEST SI HOSTNAME CORRESPOND A ADRESSE IP
# $RES AURA L'ADRESSE IP COMME VALEUR SI BON, VIDE SI PAS BON
if [ "$(expr match "$ServeurPingRes" ".*${EthAddressServeur}.*")" -gt 0 ]
then
# ON EST SUR MON RESEAU -> MAJ DU RESOLV.CONF
echo -e "$NewResolvConfInfo$NewResolvConf" > /etc/resolv.conf
fi

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Le 14 décembre 2009 05:06, Kenny <kenny@bruxxel.org> a écrit :

Juste que j'ai du ajouter un ping avant ma commande arp sinon elle renvoy ait
"unknown host" à chaque fois.

# PING D'ABORD SINON ARP RENVOIE AUTO PAS BON
ServeurPingRes="$(ping -n -c 1 $IpAddressServeur)"

# TEST ARP SUR L'ADRESSE DU SERVEUR
ServeurPingRes="$(arp $IpAddressServeur)"

arping accepte aussi les adresses IP et remplacera avantageusement ta
double commande je pense.

--
Kévin

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

mess-mate a écrit :

Florentin Garnier wrote:

J'ai pour projet de monter mon propre serveur mail quand j'aurai une
IP fixe

y'a pas besoin d'une ip fixe pour ton serveur ni pour un serveur web
d'ailleurs.

C'est quand même très préférable. En adresse variable, il existe un
délai inévitable entre le changement d'adresse et la mise à jour du DNS.
Ce délai peut être très variable, notamment en cas de perte de
connexion. Pendant ce temps, les connexions sont reçues par la machine
qui a récupéré l'ancienne adresse, qui peut en faire ce qu'elle veut. Si
pour une raison quelconque elle accepte les mails sans les
retransmettre, ils seront perdus sans aucun message d'erreur.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

> Le 14 décembre 2009 01:11, Kenny <kenny@bruxxel.org> a écrit :

On peut facilement retrouver l'adresse Ethernet d'une autre machine sur le
réseau?

Uniquement si elle est dans le même domaine de diffusion. Si elle est
dans un autre réseau, ce n'est pas possible car l'adresse MAC est une
donnée locale au lien.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Le 14 décembre 2009 11:55, Pascal Hambourg
<pascal.mail@plouf.fr.eu.org> a écrit :

Le 14 décembre 2009 01:11, Kenny <kenny@bruxxel.org> a écrit :

On peut facilement retrouver l'adresse Ethernet d'une autre machine sur le
réseau?

Uniquement si elle est dans le même domaine de diffusion. Si elle est
dans un autre réseau, ce n'est pas possible car l'adresse MAC est une
donnée locale au lien.

Tout à fait les requêtes ARP ne passent pas les routeurs je ne l'avais
pas précisé.

--
Kévin

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

Kevin Hinault wrote:

Le 14 décembre 2009 11:55, Pascal Hambourg
<pascal.mail@plouf.fr.eu.org> a écrit :

Le 14 décembre 2009 01:11, Kenny <kenny@bruxxel.org> a écrit :

On peut facilement retrouver l'adresse Ethernet d'une autre machine sur le
réseau?

Uniquement si elle est dans le même domaine de diffusion. Si elle est
dans un autre réseau, ce n'est pas possible car l'adresse MAC est une
donnée locale au lien.

Tout à fait les requêtes ARP ne passent pas les routeurs je ne l'avais
pas précisé.

Tout à fait :)

C'est bien le cas dans mon lan..
hmm.. Quoique, il faudra que je voie avec une connexion openvpn.

Mais je verrai cela à ce moment.

Merci pour cette précision.

Kenny

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org