A l'install, j'ai suivit les conseils implicites, et ai choisi le niveau
de securité 2 (standard)
Or je suis connecté 24h/24 sur internet via adsl.
Tout ce que j'ai fait est d'activer shorewall avec les options defauts.
J'ai un peu peur que mon systeme soit ouvert à tout vent.
Faut-il que je modifie mon niveau avec msec et que je mette 4 ?
Dans ce cas, j'imagine que bon nombre de programmes ne vont plus avoir
acces à internet, quels parametres dois-je aller modifier pour que
tout marche de nv ? Y a-t-il une url pour m'aider, je n'ai rien
trouvé chez Lea ni rien de comprehensible (pour moi) sur mandrakeuser.
Je sais que j'ai acces à tous les param via draksec, mais je ne connais
pas les parametres qui seraient adéquats, et j'ai un peu peur de bloquer
mon systeme, qui marche plutôt bien en ce moment
On Thu, 07 Oct 2004 15:55:58 -0300, sebas22 wrote:
Bonjour,
Bonsoir,
A l'install, j'ai suivit les conseils implicites, et ai choisi le niveau de securité 2 (standard)
Si tu pouvais nous lister ce a quoi ce niveau de securité correspond on pourrait te repondre.
Essaie de voir sur internet un lien qui permettrai de nous montrer la liste des choses bloquées.
-- ASPO Infogérance - http://aspo.rktmb.org/activites/infogerance Unofficial FAQ fcolc - http://faq.fcolc.eu.org/ Linux User Group sur Orléans et alentours. Tél: + 33 2 38 76 43 65 (France)
Jérémy JUST
On Thu, 07 Oct 2004 15:55:58 -0300 sebas22 wrote:
[Mandrake] Faut-il que je modifie mon niveau avec msec et que je mette 4 ?
Les hauts niveaux de sécurité sont *très*, *très* contraignants.
En gros, ils ne sont pas faits pour être appliqués sur une machine utilisée en interactif en permanence. Par contre, ils seraient idéaux si tu avais un pare-feu dédié entre internet et ta machine.
Cela dit, si tu viens d'installer ta machine et que tu n'as pas encore besoin que tout fonctionne, tu peux essayer de monter au niveau supérieur pour voir ce que ça change. Mais attends-toi à devoir réparer quelques trucs à la main (le problème, c'est que c'est à ce moment-là que tu risques d'ouvrir des brèches).
Dans ce cas, j'imagine que bon nombre de programmes ne vont plus avoir acces à internet,
Ça empêche aussi un utilisateur normal d'utiliser pas mal de programmes (chmod restrictifs partout).
Je sais que j'ai acces à tous les param via draksec, mais je ne connais pas les parametres qui seraient adéquats, et j'ai un peu peur de bloquer mon systeme, qui marche plutôt bien en ce moment
Configure déjà correctement Shorewall (il est abondamment documenté... de quoi occuper quelques soirées d'hiver) et fais très régulièrement les mises à jour des logiciels installés (y compris le noyau).
Tu auras un niveau de sécurité bien supérieur à la moyenne de ce qui se voit sur internet (attention, je n'ai pas dit que tu serais à l'abri de tout problème!).
-- Jérémy JUST
On Thu, 07 Oct 2004 15:55:58 -0300
sebas22 <sebas@nospam.invalid> wrote:
[Mandrake]
Faut-il que je modifie mon niveau avec msec et que je mette 4 ?
Les hauts niveaux de sécurité sont *très*, *très* contraignants.
En gros, ils ne sont pas faits pour être appliqués sur une machine
utilisée en interactif en permanence. Par contre, ils seraient idéaux si
tu avais un pare-feu dédié entre internet et ta machine.
Cela dit, si tu viens d'installer ta machine et que tu n'as pas encore
besoin que tout fonctionne, tu peux essayer de monter au niveau
supérieur pour voir ce que ça change. Mais attends-toi à devoir réparer
quelques trucs à la main (le problème, c'est que c'est à ce moment-là
que tu risques d'ouvrir des brèches).
Dans ce cas, j'imagine que bon nombre de programmes ne vont plus avoir
acces à internet,
Ça empêche aussi un utilisateur normal d'utiliser pas mal de
programmes (chmod restrictifs partout).
Je sais que j'ai acces à tous les param via draksec, mais je ne
connais pas les parametres qui seraient adéquats, et j'ai un peu peur
de bloquer mon systeme, qui marche plutôt bien en ce moment
Configure déjà correctement Shorewall (il est abondamment documenté...
de quoi occuper quelques soirées d'hiver) et fais très régulièrement les
mises à jour des logiciels installés (y compris le noyau).
Tu auras un niveau de sécurité bien supérieur à la moyenne de ce qui
se voit sur internet (attention, je n'ai pas dit que tu serais à l'abri
de tout problème!).
[Mandrake] Faut-il que je modifie mon niveau avec msec et que je mette 4 ?
Les hauts niveaux de sécurité sont *très*, *très* contraignants.
En gros, ils ne sont pas faits pour être appliqués sur une machine utilisée en interactif en permanence. Par contre, ils seraient idéaux si tu avais un pare-feu dédié entre internet et ta machine.
Cela dit, si tu viens d'installer ta machine et que tu n'as pas encore besoin que tout fonctionne, tu peux essayer de monter au niveau supérieur pour voir ce que ça change. Mais attends-toi à devoir réparer quelques trucs à la main (le problème, c'est que c'est à ce moment-là que tu risques d'ouvrir des brèches).
Dans ce cas, j'imagine que bon nombre de programmes ne vont plus avoir acces à internet,
Ça empêche aussi un utilisateur normal d'utiliser pas mal de programmes (chmod restrictifs partout).
Je sais que j'ai acces à tous les param via draksec, mais je ne connais pas les parametres qui seraient adéquats, et j'ai un peu peur de bloquer mon systeme, qui marche plutôt bien en ce moment
Configure déjà correctement Shorewall (il est abondamment documenté... de quoi occuper quelques soirées d'hiver) et fais très régulièrement les mises à jour des logiciels installés (y compris le noyau).
Tu auras un niveau de sécurité bien supérieur à la moyenne de ce qui se voit sur internet (attention, je n'ai pas dit que tu serais à l'abri de tout problème!).
-- Jérémy JUST
g.patel
On Thu, 07 Oct 2004 15:55:58 -0300, sebas22 wrote:
(Mandrake 10.0 official)
A l'install, j'ai suivit les conseils implicites, et ai choisi le niveau de securité 2 (standard) Or je suis connecté 24h/24 sur internet via adsl.
Tout ce que j'ai fait est d'activer shorewall avec les options defauts. J'ai un peu peur que mon systeme soit ouvert à tout vent.
Faut-il que je modifie mon niveau avec msec et que je mette 4 ?
non; si on veut configurer shorewall, on configure shorewall, pas le niveau de sécurité (qui pour autant que je le sache, n'influe pas sur shorewall). Le niveau de sécurité 4 est adapté pour un serveur, il est trop élevé pour servir à surfer sur le ouèbe et autres usages de ce genre.
Dans ce cas, j'imagine que bon nombre de programmes ne vont plus avoir acces à internet, quels parametres dois-je aller modifier pour que tout marche de nv ?
de nv, ça veut dire 'de nouveau' ? Je n'ai pas bien compris, il y a quelque chose qui ne marche plus ?
Y a-t-il une url pour m'aider, je n'ai rien trouvé chez Lea ni rien de comprehensible (pour moi) sur mandrakeuser.
Je sais que j'ai acces à tous les param via draksec, mais je ne connais pas les parametres qui seraient adéquats, et j'ai un peu peur de bloquer mon systeme, qui marche plutôt bien en ce moment
ah bon, ça marche alors ?
Enfin, bon, pour tester sa configuration il y a des sites qui font ça : www.grc.com par exemple (ne pas s'inquiéter de ce qu'ils racontent sur les connexions 'stealth')
Gérard Patel
On Thu, 07 Oct 2004 15:55:58 -0300, sebas22 <sebas@nospam.invalid>
wrote:
(Mandrake 10.0 official)
A l'install, j'ai suivit les conseils implicites, et ai choisi le niveau
de securité 2 (standard)
Or je suis connecté 24h/24 sur internet via adsl.
Tout ce que j'ai fait est d'activer shorewall avec les options defauts.
J'ai un peu peur que mon systeme soit ouvert à tout vent.
Faut-il que je modifie mon niveau avec msec et que je mette 4 ?
non; si on veut configurer shorewall, on configure shorewall, pas
le niveau de sécurité (qui pour autant que je le sache, n'influe pas
sur shorewall). Le niveau de sécurité 4 est adapté pour un serveur,
il est trop élevé pour servir à surfer sur le ouèbe et autres usages
de ce genre.
Dans ce cas, j'imagine que bon nombre de programmes ne vont plus avoir
acces à internet, quels parametres dois-je aller modifier pour que
tout marche de nv ?
de nv, ça veut dire 'de nouveau' ? Je n'ai pas bien
compris, il y a quelque chose qui ne marche plus ?
Y a-t-il une url pour m'aider, je n'ai rien
trouvé chez Lea ni rien de comprehensible (pour moi) sur mandrakeuser.
Je sais que j'ai acces à tous les param via draksec, mais je ne connais
pas les parametres qui seraient adéquats, et j'ai un peu peur de bloquer
mon systeme, qui marche plutôt bien en ce moment
ah bon, ça marche alors ?
Enfin, bon, pour tester sa configuration il y a des sites qui font
ça : www.grc.com par exemple (ne pas s'inquiéter de ce qu'ils
racontent sur les connexions 'stealth')
On Thu, 07 Oct 2004 15:55:58 -0300, sebas22 wrote:
(Mandrake 10.0 official)
A l'install, j'ai suivit les conseils implicites, et ai choisi le niveau de securité 2 (standard) Or je suis connecté 24h/24 sur internet via adsl.
Tout ce que j'ai fait est d'activer shorewall avec les options defauts. J'ai un peu peur que mon systeme soit ouvert à tout vent.
Faut-il que je modifie mon niveau avec msec et que je mette 4 ?
non; si on veut configurer shorewall, on configure shorewall, pas le niveau de sécurité (qui pour autant que je le sache, n'influe pas sur shorewall). Le niveau de sécurité 4 est adapté pour un serveur, il est trop élevé pour servir à surfer sur le ouèbe et autres usages de ce genre.
Dans ce cas, j'imagine que bon nombre de programmes ne vont plus avoir acces à internet, quels parametres dois-je aller modifier pour que tout marche de nv ?
de nv, ça veut dire 'de nouveau' ? Je n'ai pas bien compris, il y a quelque chose qui ne marche plus ?
Y a-t-il une url pour m'aider, je n'ai rien trouvé chez Lea ni rien de comprehensible (pour moi) sur mandrakeuser.
Je sais que j'ai acces à tous les param via draksec, mais je ne connais pas les parametres qui seraient adéquats, et j'ai un peu peur de bloquer mon systeme, qui marche plutôt bien en ce moment
ah bon, ça marche alors ?
Enfin, bon, pour tester sa configuration il y a des sites qui font ça : www.grc.com par exemple (ne pas s'inquiéter de ce qu'ils racontent sur les connexions 'stealth')
Gérard Patel
Michel Tatoute
Le Fri, 08 Oct 2004 17:02:51 -0300, sebas22 a écrit :
Par contre, ce qui m'etonne un peu, c'est que je crois comprendre que tout ce qui est installé sur ma machine peut etablir une connection avec l'exterieur, je ne me trompe pas ? Donc un eventuel programme malicieux pourrait voler et communiquer mes infos à un tiers, non ? C'est probablement à ce point que je dois travailler sur shorewall, exact ?
Pas vraiment. Les différents systemes dont est composé une distrib linux sont conçus avec un relativement bon estprit de "sécurité", en tout cas bien meilleur que sous d'autres systemes ou la pression marketing pousse à négliger la sécurité au bénéfice de l'automation.
Par exemple il est habituel sous linux (unix) qu'un fichier venu de l'extérieur ne soit pas executable, et donc ne puisse pas être executé.
De plus le source ouvert évite pas mal de tentatives de spywares.
Donc les vers et les spywares sont rares.
La solution que ZoneAlarm a adoptée sous windows n'existe pas ici ? (c'est à dire qu'il demande pour chaque programme tentant d'etablir une connection comme client ou/et serveur si celui-ci est autorisé à le faire, et mémorise la réponse, debloquant donc le port correspondant pour ce programme)
On laisse cà à un systeme qui croit qu'il y a un utilisateur derrière "l'écran". Pour ma part je suis beaucoup plus souvent à 20 km de ma bécane que devant (et ce n'est pas un serveur), ce qui ne m'empèche pas de l'utiliser, via VNC en général.
Merci encore et salut Sebas
De rien, @+
Michel.
Le Fri, 08 Oct 2004 17:02:51 -0300, sebas22 a écrit :
Par contre, ce qui m'etonne un peu, c'est que je crois comprendre que
tout ce qui est installé sur ma machine peut etablir une connection avec
l'exterieur, je ne me trompe pas ? Donc un eventuel programme malicieux
pourrait voler et communiquer mes infos à un tiers, non ? C'est
probablement à ce point que je dois travailler sur shorewall, exact ?
Pas vraiment. Les différents systemes dont est composé une distrib linux
sont conçus avec un relativement bon estprit de "sécurité", en tout cas
bien meilleur que sous d'autres systemes ou la pression marketing pousse
à négliger la sécurité au bénéfice de l'automation.
Par exemple il est habituel sous linux (unix) qu'un fichier venu de
l'extérieur ne soit pas executable, et donc ne puisse pas être executé.
De plus le source ouvert évite pas mal de tentatives de spywares.
Donc les vers et les spywares sont rares.
La solution que ZoneAlarm a adoptée sous windows n'existe pas ici ?
(c'est à dire qu'il demande pour chaque programme tentant d'etablir une
connection comme client ou/et serveur si celui-ci est autorisé à le
faire, et mémorise la réponse, debloquant donc le port correspondant
pour ce programme)
On laisse cà à un systeme qui croit qu'il y a un utilisateur derrière
"l'écran". Pour ma part je suis beaucoup plus souvent à 20 km de ma
bécane que devant (et ce n'est pas un serveur), ce qui ne m'empèche pas
de l'utiliser, via VNC en général.
Le Fri, 08 Oct 2004 17:02:51 -0300, sebas22 a écrit :
Par contre, ce qui m'etonne un peu, c'est que je crois comprendre que tout ce qui est installé sur ma machine peut etablir une connection avec l'exterieur, je ne me trompe pas ? Donc un eventuel programme malicieux pourrait voler et communiquer mes infos à un tiers, non ? C'est probablement à ce point que je dois travailler sur shorewall, exact ?
Pas vraiment. Les différents systemes dont est composé une distrib linux sont conçus avec un relativement bon estprit de "sécurité", en tout cas bien meilleur que sous d'autres systemes ou la pression marketing pousse à négliger la sécurité au bénéfice de l'automation.
Par exemple il est habituel sous linux (unix) qu'un fichier venu de l'extérieur ne soit pas executable, et donc ne puisse pas être executé.
De plus le source ouvert évite pas mal de tentatives de spywares.
Donc les vers et les spywares sont rares.
La solution que ZoneAlarm a adoptée sous windows n'existe pas ici ? (c'est à dire qu'il demande pour chaque programme tentant d'etablir une connection comme client ou/et serveur si celui-ci est autorisé à le faire, et mémorise la réponse, debloquant donc le port correspondant pour ce programme)
On laisse cà à un systeme qui croit qu'il y a un utilisateur derrière "l'écran". Pour ma part je suis beaucoup plus souvent à 20 km de ma bécane que devant (et ce n'est pas un serveur), ce qui ne m'empèche pas de l'utiliser, via VNC en général.
Merci encore et salut Sebas
De rien, @+
Michel.
sebas22
Le Thu, 07 Oct 2004 21:30:37 +0200, Rakotomandimby Mihamina a écrit :
Bonjour, Bonsoir,
Bonne nuit,
A l'install, j'ai suivit les conseils implicites, et ai choisi le niveau de securité 2 (standard)
Si tu pouvais nous lister ce a quoi ce niveau de securité correspond on pourrait te repondre.
Essaie de voir sur internet un lien qui permettrai de nous montrer la liste des choses bloquées.
Disons que ce n'est plus necessaire, puisqu'on m'a conseillé de ne pas changer de niveau, mais voici qd même un lien qui explique la difference entre les differents niveaux de msec : http://mandrakeuser.org/docs/secure/smsec.html
Merci à toi et a+ Sebas
Le Thu, 07 Oct 2004 21:30:37 +0200, Rakotomandimby Mihamina a écrit :
Bonjour,
Bonsoir,
Bonne nuit,
A l'install, j'ai suivit les conseils implicites, et ai choisi le niveau
de securité 2 (standard)
Si tu pouvais nous lister ce a quoi ce niveau de securité correspond on
pourrait te repondre.
Essaie de voir sur internet un lien qui permettrai de nous montrer la
liste des choses bloquées.
Disons que ce n'est plus necessaire, puisqu'on m'a conseillé de ne pas
changer de niveau, mais voici qd même un lien qui explique la difference
entre les differents niveaux de msec :
http://mandrakeuser.org/docs/secure/smsec.html
Le Thu, 07 Oct 2004 21:30:37 +0200, Rakotomandimby Mihamina a écrit :
Bonjour, Bonsoir,
Bonne nuit,
A l'install, j'ai suivit les conseils implicites, et ai choisi le niveau de securité 2 (standard)
Si tu pouvais nous lister ce a quoi ce niveau de securité correspond on pourrait te repondre.
Essaie de voir sur internet un lien qui permettrai de nous montrer la liste des choses bloquées.
Disons que ce n'est plus necessaire, puisqu'on m'a conseillé de ne pas changer de niveau, mais voici qd même un lien qui explique la difference entre les differents niveaux de msec : http://mandrakeuser.org/docs/secure/smsec.html
Merci à toi et a+ Sebas
Idefix
Le Fri, 08 Oct 2004 17:02:51 -0300, sebas22 a écrit :
Tres bien ce site, selon lui tout est cadenassé nickel chrome, sauf le port 113 qui repond comme "closed" (ce qui ne doit pas être un gros probleme, non ?)
J'ai pas trouve le test :( C'est ou sur le site? Merci
Resultat du "File sharing " : Your Internet port 139 does not appear to exist! Unable to connect with NetBIOS to your computer. All attempts to get any information from your computer have FAILED. (This is very uncommon for a Windows networking-based PC.) <<-- hé hé ! :-)
Par contre, ce qui m'etonne un peu, c'est que je crois comprendre que tout ce qui est installé sur ma machine peut etablir une connection avec l'exterieur, je ne me trompe pas ? Donc un eventuel programme malicieux pourrait voler et communiquer mes infos à un tiers, non ? C'est probablement à ce point que je dois travailler sur shorewall, exact ?
La solution que ZoneAlarm a adoptée sous windows n'existe pas ici ? (c'est à dire qu'il demande pour chaque programme tentant d'etablir une connection comme client ou/et serveur si celui-ci est autorisé à le faire, et mémorise la réponse, debloquant donc le port correspondant pour ce programme)
Merci encore et salut Sebas
Le Fri, 08 Oct 2004 17:02:51 -0300, sebas22 a écrit :
Tres bien ce site, selon lui tout est cadenassé nickel chrome, sauf le
port 113 qui repond comme "closed" (ce qui ne doit pas être un gros
probleme, non ?)
J'ai pas trouve le test :( C'est ou sur le site?
Merci
Resultat du "File sharing " :
Your Internet port 139 does not appear to exist!
Unable to connect with NetBIOS to your computer.
All attempts to get any information from your computer have FAILED. (This
is very uncommon for a Windows networking-based PC.) <<-- hé hé ! :-)
Par contre, ce qui m'etonne un peu, c'est que je crois comprendre que
tout ce qui est installé sur ma machine peut etablir une connection avec
l'exterieur, je ne me trompe pas ? Donc un eventuel programme malicieux
pourrait voler et communiquer mes infos à un tiers, non ? C'est
probablement à ce point que je dois travailler sur shorewall, exact ?
La solution que ZoneAlarm a adoptée sous windows n'existe pas ici ?
(c'est à dire qu'il demande pour chaque programme tentant d'etablir une
connection comme client ou/et serveur si celui-ci est autorisé à le
faire, et mémorise la réponse, debloquant donc le port correspondant
pour ce programme)
Le Fri, 08 Oct 2004 17:02:51 -0300, sebas22 a écrit :
Tres bien ce site, selon lui tout est cadenassé nickel chrome, sauf le port 113 qui repond comme "closed" (ce qui ne doit pas être un gros probleme, non ?)
J'ai pas trouve le test :( C'est ou sur le site? Merci
Resultat du "File sharing " : Your Internet port 139 does not appear to exist! Unable to connect with NetBIOS to your computer. All attempts to get any information from your computer have FAILED. (This is very uncommon for a Windows networking-based PC.) <<-- hé hé ! :-)
Par contre, ce qui m'etonne un peu, c'est que je crois comprendre que tout ce qui est installé sur ma machine peut etablir une connection avec l'exterieur, je ne me trompe pas ? Donc un eventuel programme malicieux pourrait voler et communiquer mes infos à un tiers, non ? C'est probablement à ce point que je dois travailler sur shorewall, exact ?
La solution que ZoneAlarm a adoptée sous windows n'existe pas ici ? (c'est à dire qu'il demande pour chaque programme tentant d'etablir une connection comme client ou/et serveur si celui-ci est autorisé à le faire, et mémorise la réponse, debloquant donc le port correspondant pour ce programme)
Merci encore et salut Sebas
sebas22
Le Fri, 08 Oct 2004 23:52:01 +0200, Idefix a écrit :
Tres bien ce site, selon lui tout est cadenassé nickel chrome, sauf le port 113 qui repond comme "closed" (ce qui ne doit pas être un gros probleme, non ?)
J'ai pas trouve le test :( C'est ou sur le site? Merci
http://www.grc.com/default.htm, va dans la section Hot Spots et clique sur ShieldsUp! Le lien est créé à la volée, je ne peut donc pas te le passer ici.
Bon test Sebas
Le Fri, 08 Oct 2004 23:52:01 +0200, Idefix a écrit :
Tres bien ce site, selon lui tout est cadenassé nickel chrome, sauf le
port 113 qui repond comme "closed" (ce qui ne doit pas être un gros
probleme, non ?)
J'ai pas trouve le test :( C'est ou sur le site?
Merci
http://www.grc.com/default.htm, va dans la section Hot Spots et clique
sur ShieldsUp!
Le lien est créé à la volée, je ne peut donc pas te le passer ici.
Le Fri, 08 Oct 2004 23:52:01 +0200, Idefix a écrit :
Tres bien ce site, selon lui tout est cadenassé nickel chrome, sauf le port 113 qui repond comme "closed" (ce qui ne doit pas être un gros probleme, non ?)
J'ai pas trouve le test :( C'est ou sur le site? Merci
http://www.grc.com/default.htm, va dans la section Hot Spots et clique sur ShieldsUp! Le lien est créé à la volée, je ne peut donc pas te le passer ici.
Bon test Sebas
Jérémy JUST
On Fri, 08 Oct 2004 17:02:51 -0300 sebas22 wrote:
Par contre, ce qui m'etonne un peu, c'est que je crois comprendre que tout ce qui est installé sur ma machine peut etablir une connection avec l'exterieur, je ne me trompe pas ?
En l'absence de règles de filtrage spécifiques, c'est le cas, effectivement.
Donc un eventuel programme malicieux pourrait voler et communiquer mes infos à un tiers, non ?
Oui. Comme le dit Michel, ces programmes sont *traditionnellement rares* sous Linux; mais ça ne veut pas dire qu'il n'y en a pas.
Avec un pare-feu bien configuré, tu es plus à l'aise chez toi pour faire des expériences. Par exemple, il m'est arrivé d'essayer de me bidouiller des petits serveurs (pour des essais de programmation); avec un pare-feu, je n'avais pas à me soucier de petits plaisantins qui auraient détecté que ce port était ouvert et y auraient envoyé des trucs (le seul risque, a priori, était qu'ils fassent planter ce serveur, mais, bon). Tu es aussi protégé de certains effets de tes manipulations malheureuses (« xhost + », par exemple).
C'est probablement à ce point que je dois travailler sur shorewall, exact ?
Oui. Mais commence par te protéger des attaques extérieures. La configuration du trafic sortant est un peu plus longue à mettre en place.
La solution que ZoneAlarm a adoptée sous windows n'existe pas ici ? (c'est à dire qu'il demande pour chaque programme tentant d'etablir une connection comme client ou/et serveur si celui-ci est autorisé à le faire, et mémorise la réponse, debloquant donc le port correspondant pour ce programme)
Avant tout, une remarque: un pare-feu sous Linux n'a pas connaissance du programme qui envoie ou reçoit les paquets.
Ensuite, la façon courante de faire est de fermer tous les ports inférieurs à 1024, puis de rouvrir ceux qui te sont nécessaires (surveille les logs pendant les premiers jours pour savoir si des paquets sortants sont arrêtés). C'est en gros ce que font les versions récentes de Windows.
Si tu as des questions sur les principes de la sécurité, va voir sur fr.comp.securite (par contre, pour la mise en oeuvre avec Shorewall, reste ici).
Bonne maçonnerie!
-- Jérémy JUST
On Fri, 08 Oct 2004 17:02:51 -0300
sebas22 <sebas@nospam.invalid> wrote:
Par contre, ce qui m'etonne un peu, c'est que je crois comprendre que
tout ce qui est installé sur ma machine peut etablir une connection
avec l'exterieur, je ne me trompe pas ?
En l'absence de règles de filtrage spécifiques, c'est le cas,
effectivement.
Donc un eventuel programme malicieux pourrait voler et communiquer mes
infos à un tiers, non ?
Oui.
Comme le dit Michel, ces programmes sont *traditionnellement rares*
sous Linux; mais ça ne veut pas dire qu'il n'y en a pas.
Avec un pare-feu bien configuré, tu es plus à l'aise chez toi pour
faire des expériences. Par exemple, il m'est arrivé d'essayer de me
bidouiller des petits serveurs (pour des essais de programmation); avec
un pare-feu, je n'avais pas à me soucier de petits plaisantins qui
auraient détecté que ce port était ouvert et y auraient envoyé des trucs
(le seul risque, a priori, était qu'ils fassent planter ce serveur,
mais, bon).
Tu es aussi protégé de certains effets de tes manipulations
malheureuses (« xhost + », par exemple).
C'est probablement à ce point que je dois travailler sur shorewall,
exact ?
Oui.
Mais commence par te protéger des attaques extérieures. La
configuration du trafic sortant est un peu plus longue à mettre en
place.
La solution que ZoneAlarm a adoptée sous windows n'existe pas ici ?
(c'est à dire qu'il demande pour chaque programme tentant d'etablir
une connection comme client ou/et serveur si celui-ci est autorisé à
le faire, et mémorise la réponse, debloquant donc le port
correspondant pour ce programme)
Avant tout, une remarque: un pare-feu sous Linux n'a pas connaissance
du programme qui envoie ou reçoit les paquets.
Ensuite, la façon courante de faire est de fermer tous les ports
inférieurs à 1024, puis de rouvrir ceux qui te sont nécessaires
(surveille les logs pendant les premiers jours pour savoir si des
paquets sortants sont arrêtés).
C'est en gros ce que font les versions récentes de Windows.
Si tu as des questions sur les principes de la sécurité, va voir sur
fr.comp.securite (par contre, pour la mise en oeuvre avec Shorewall,
reste ici).
Par contre, ce qui m'etonne un peu, c'est que je crois comprendre que tout ce qui est installé sur ma machine peut etablir une connection avec l'exterieur, je ne me trompe pas ?
En l'absence de règles de filtrage spécifiques, c'est le cas, effectivement.
Donc un eventuel programme malicieux pourrait voler et communiquer mes infos à un tiers, non ?
Oui. Comme le dit Michel, ces programmes sont *traditionnellement rares* sous Linux; mais ça ne veut pas dire qu'il n'y en a pas.
Avec un pare-feu bien configuré, tu es plus à l'aise chez toi pour faire des expériences. Par exemple, il m'est arrivé d'essayer de me bidouiller des petits serveurs (pour des essais de programmation); avec un pare-feu, je n'avais pas à me soucier de petits plaisantins qui auraient détecté que ce port était ouvert et y auraient envoyé des trucs (le seul risque, a priori, était qu'ils fassent planter ce serveur, mais, bon). Tu es aussi protégé de certains effets de tes manipulations malheureuses (« xhost + », par exemple).
C'est probablement à ce point que je dois travailler sur shorewall, exact ?
Oui. Mais commence par te protéger des attaques extérieures. La configuration du trafic sortant est un peu plus longue à mettre en place.
La solution que ZoneAlarm a adoptée sous windows n'existe pas ici ? (c'est à dire qu'il demande pour chaque programme tentant d'etablir une connection comme client ou/et serveur si celui-ci est autorisé à le faire, et mémorise la réponse, debloquant donc le port correspondant pour ce programme)
Avant tout, une remarque: un pare-feu sous Linux n'a pas connaissance du programme qui envoie ou reçoit les paquets.
Ensuite, la façon courante de faire est de fermer tous les ports inférieurs à 1024, puis de rouvrir ceux qui te sont nécessaires (surveille les logs pendant les premiers jours pour savoir si des paquets sortants sont arrêtés). C'est en gros ce que font les versions récentes de Windows.
Si tu as des questions sur les principes de la sécurité, va voir sur fr.comp.securite (par contre, pour la mise en oeuvre avec Shorewall, reste ici).
Bonne maçonnerie!
-- Jérémy JUST
Idefix
Le Fri, 08 Oct 2004 19:13:09 -0300, sebas22 a écrit :
Le Fri, 08 Oct 2004 23:52:01 +0200, Idefix a écrit :
Tres bien ce site, selon lui tout est cadenassé nickel chrome, sauf le port 113 qui repond comme "closed" (ce qui ne doit pas être un gros probleme, non ?)
J'ai pas trouve le test :( C'est ou sur le site? Merci
http://www.grc.com/default.htm, va dans la section Hot Spots et clique sur ShieldsUp! Le lien est créé à la volée, je ne peut donc pas te le passer ici.
Bon test Sebas
Merci. Voici le resultat avec shorewall: "Greetings!
Without your knowledge or explicit permission, the Windows networking technology which connects your computer to the Internet may be offering some or all of your computer's data to the entire world at this very moment!"
Le Fri, 08 Oct 2004 19:13:09 -0300, sebas22 a écrit :
Le Fri, 08 Oct 2004 23:52:01 +0200, Idefix a écrit :
Tres bien ce site, selon lui tout est cadenassé nickel chrome, sauf le
port 113 qui repond comme "closed" (ce qui ne doit pas être un gros
probleme, non ?)
J'ai pas trouve le test :( C'est ou sur le site?
Merci
http://www.grc.com/default.htm, va dans la section Hot Spots et clique
sur ShieldsUp!
Le lien est créé à la volée, je ne peut donc pas te le passer ici.
Bon test
Sebas
Merci.
Voici le resultat avec shorewall:
"Greetings!
Without your knowledge or explicit permission, the Windows networking
technology which connects your computer to the Internet may be offering
some or all of your computer's data to the entire world at this very
moment!"
Le Fri, 08 Oct 2004 19:13:09 -0300, sebas22 a écrit :
Le Fri, 08 Oct 2004 23:52:01 +0200, Idefix a écrit :
Tres bien ce site, selon lui tout est cadenassé nickel chrome, sauf le port 113 qui repond comme "closed" (ce qui ne doit pas être un gros probleme, non ?)
J'ai pas trouve le test :( C'est ou sur le site? Merci
http://www.grc.com/default.htm, va dans la section Hot Spots et clique sur ShieldsUp! Le lien est créé à la volée, je ne peut donc pas te le passer ici.
Bon test Sebas
Merci. Voici le resultat avec shorewall: "Greetings!
Without your knowledge or explicit permission, the Windows networking technology which connects your computer to the Internet may be offering some or all of your computer's data to the entire world at this very moment!"
g.patel
On Sat, 9 Oct 2004 00:29:24 +0200, =?ISO-8859-15?Q?Jérémy?= JUST wrote:
(...)
Avant tout, une remarque: un pare-feu sous Linux n'a pas connaissance du programme qui envoie ou reçoit les paquets.
man iptables (option 'owner')
Gerard Patel
On Sat, 9 Oct 2004 00:29:24 +0200, =?ISO-8859-15?Q?Jérémy?= JUST
<jeremy_just@netcourrier.com> wrote:
(...)
Avant tout, une remarque: un pare-feu sous Linux n'a pas connaissance
du programme qui envoie ou reçoit les paquets.
