Bonjour "la liste",
J'ai une question à vous soumettre, Ã
laquelle je ne trouve pas de réponse:
J'ai installé portsentry sur une
squeeze. Iptables est déjà configuré.
Portsentry ne détecte pas les
scans de ports, car il ne "lie" que les ports inutilisés; Or,
évidemment ceux ci sont protégés par iptables (INPUT DROP) ...
Pour que portsentry
fasse son travail (banissement des ip des vilains) j'ai ouvert des
ports inutilisés (20-22-23). Aucun programmes n'écoute sur ces ports.
Cela
me permet de bloquer les scans avant qu'il ne s'intéressent à d es
ports plus élevés...
Est-ce une aberration au niveau de la sécurité ?
Merci d'avance,
Laurent
Bonjour "la liste",
J'ai une question à vous soumettre, Ã
laquelle je ne trouve pas de réponse:
J'ai installé portsentry sur une
squeeze. Iptables est déjà configuré.
Portsentry ne détecte pas les
scans de ports, car il ne "lie" que les ports inutilisés; Or,
évidemment ceux ci sont protégés par iptables (INPUT DROP) ...
Pour que portsentry
fasse son travail (banissement des ip des vilains) j'ai ouvert des
ports inutilisés (20-22-23). Aucun programmes n'écoute sur ces ports.
Cela
me permet de bloquer les scans avant qu'il ne s'intéressent à d es
ports plus élevés...
Est-ce une aberration au niveau de la sécurité ?
Merci d'avance,
Laurent
Bonjour "la liste",
J'ai une question à vous soumettre, Ã
laquelle je ne trouve pas de réponse:
J'ai installé portsentry sur une
squeeze. Iptables est déjà configuré.
Portsentry ne détecte pas les
scans de ports, car il ne "lie" que les ports inutilisés; Or,
évidemment ceux ci sont protégés par iptables (INPUT DROP) ...
Pour que portsentry
fasse son travail (banissement des ip des vilains) j'ai ouvert des
ports inutilisés (20-22-23). Aucun programmes n'écoute sur ces ports.
Cela
me permet de bloquer les scans avant qu'il ne s'intéressent à d es
ports plus élevés...
Est-ce une aberration au niveau de la sécurité ?
Merci d'avance,
Laurent
Le Sun, 30 Oct 2011
[1]a écrit :
bonjour,
serait il possible d'installer les
-a) fail2ban
-b) denyhosts
denyhosts -
fail2ban - ban hosts
attention :
il faut
slt
bernard
-- Lisez la FAQ
Le Sun, 30 Oct 2011
debian-user-french@isalo.org [1]a écrit :
bonjour,
serait il possible d'installer les
-a) fail2ban
-b) denyhosts
denyhosts -
fail2ban - ban hosts
attention :
il faut
slt
bernard
-- Lisez la FAQ
Le Sun, 30 Oct 2011
[1]a écrit :
bonjour,
serait il possible d'installer les
-a) fail2ban
-b) denyhosts
denyhosts -
fail2ban - ban hosts
attention :
il faut
slt
bernard
-- Lisez la FAQ
Le Sun,
[2]a écrit
Bonjour, Fail2ban est déjà installé. Mais Fail2ban n'est pas
bonjour,
slt
bernard
Le Sun,
debian-user-french@isalo.org [2]a écrit
Bonjour, Fail2ban est déjà installé. Mais Fail2ban n'est pas
bonjour,
slt
bernard
Le Sun,
[2]a écrit
Bonjour, Fail2ban est déjà installé. Mais Fail2ban n'est pas
bonjour,
slt
bernard
Salut,
Le seul danger que je pourrai voir c'est qu'une personne ayant obtenu u n
accès utilisateur à ton serveur puisse mettre un service en à ©coute sur
l'un de ses ports (netcat par exemple). Sauf que les simple utilisateur s
ne sont pas en mesure de mettre un service en écoute sur un port
inférieur à 1024.
$ nc -l 22
nc: Permission denied
Hormis ça, je ne pense pas que ca soit gênant.
---
Shutdown76
http://www.shutdown76.net/
http://www.mynooblife.org/
On Sun, 30 Oct 2011 23:09:13 +0300, wrote:Re,
nmap -v 127.0.0.1
Starting Nmap 5.00 ( http://nmap.org ) at 2011-10-30 21:03 CET
NSE: Loaded 0 scripts for scanning.
Initiating SYN Stealth Scan at 21:03
Scanning localhost.localdomain (127.0.0.1) [1000 ports]
Discovered open port 25/tcp on 127.0.0.1
Discovered open port 80/tcp on 127.0.0.1
Discovered open port 3306/tcp on 127.0.0.1
Discovered open port 110/tcp on 127.0.0.1
Discovered open port 143/tcp on 127.0.0.1
Discovered open port 21/tcp on 127.0.0.1
Discovered open port 993/tcp on 127.0.0.1
Discovered open port 443/tcp on 127.0.0.1
Discovered open port 53/tcp on 127.0.0.1
Discovered open port 995/tcp on 127.0.0.1
Discovered open port 8080/tcp on 127.0.0.1
Discovered open port 8081/tcp on 127.0.0.1
Discovered open port 10024/tcp on 127.0.0.1
Discovered open port 10025/tcp on 127.0.0.1
Completed SYN Stealth Scan at 21:03, 0.07s elapsed (1000 total ports)
Host localhost.localdomain (127.0.0.1) is up (0.0000060s latency).
Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 986 closed ports
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop3
143/tcp open imap
443/tcp open https
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
8080/tcp open http-proxy
8081/tcp open blackice-icecap
10024/tcp open unknown
10025/tcp open unknown
Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.15 seconds
Raw packets sent: 1000 (44.000KB) | Rcvd: 2014 (84.616KB)
Bien entendu 127.0.0.1 est dans la liste blanche de portsentry, sinon le
résultat, de l'extérieur, c'est ça:
nmap -PN xxx.xxx.xxx.xxx
Starting Nmap 5.00 ( http://nmap.org ) at 2011-10-30 06:27 CET
All 1000 scanned ports on nsxxxxxx.ovh.net (xxx.xxx.xxx.xxx) are
filtered
Nmap done: 1 IP address (1 host up) scanned in 201.38 seconds
Et c'est bien ce que je souhaite: aucun port visible, et l'ip de la
machine qui me scanne blacklistés.
Donc le résultat est à la hauteur de mes espérances, sa uf que... J'ai
ouvert dans iptables les ports 20-22 et 23. Et je ne sais pas si c'est
dangereux ou pas ?
On Sun, 30 Oct 2011 20:27:46 +0100, Bernard Schoenacker wrote:Le Sun, 30 Oct 2011 22:09:47 +0300,
[2]a écrit :Bonjour, Fail2ban est déjà installé. Mais Fail2ban n' est pas
fiable à 100%...
http://bugs.debian.org/cgi-bin/bugreport.cgi?bugU4162 [1] [6] Ne
s'appuyer que sur lui est à mon sens une erreur. Et ça ne répond
pas à ma question... Est-ce dangereux d'avoir des ports (sur
lesquels aucun programme n'écoute) ouverts ? Merci
bonjour,
que donne : nmap -v localhost
slt
bernard
Links:
------
[1] http://bugs.debian.org/cgi-bin/bugreport.cgi?bugU4162
[2] mailto:
Salut,
Le seul danger que je pourrai voir c'est qu'une personne ayant obtenu u n
accès utilisateur à ton serveur puisse mettre un service en à ©coute sur
l'un de ses ports (netcat par exemple). Sauf que les simple utilisateur s
ne sont pas en mesure de mettre un service en écoute sur un port
inférieur à 1024.
$ nc -l 22
nc: Permission denied
Hormis ça, je ne pense pas que ca soit gênant.
---
Shutdown76
http://www.shutdown76.net/
http://www.mynooblife.org/
On Sun, 30 Oct 2011 23:09:13 +0300, debian-user-french@isalo.org wrote:
Re,
nmap -v 127.0.0.1
Starting Nmap 5.00 ( http://nmap.org ) at 2011-10-30 21:03 CET
NSE: Loaded 0 scripts for scanning.
Initiating SYN Stealth Scan at 21:03
Scanning localhost.localdomain (127.0.0.1) [1000 ports]
Discovered open port 25/tcp on 127.0.0.1
Discovered open port 80/tcp on 127.0.0.1
Discovered open port 3306/tcp on 127.0.0.1
Discovered open port 110/tcp on 127.0.0.1
Discovered open port 143/tcp on 127.0.0.1
Discovered open port 21/tcp on 127.0.0.1
Discovered open port 993/tcp on 127.0.0.1
Discovered open port 443/tcp on 127.0.0.1
Discovered open port 53/tcp on 127.0.0.1
Discovered open port 995/tcp on 127.0.0.1
Discovered open port 8080/tcp on 127.0.0.1
Discovered open port 8081/tcp on 127.0.0.1
Discovered open port 10024/tcp on 127.0.0.1
Discovered open port 10025/tcp on 127.0.0.1
Completed SYN Stealth Scan at 21:03, 0.07s elapsed (1000 total ports)
Host localhost.localdomain (127.0.0.1) is up (0.0000060s latency).
Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 986 closed ports
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop3
143/tcp open imap
443/tcp open https
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
8080/tcp open http-proxy
8081/tcp open blackice-icecap
10024/tcp open unknown
10025/tcp open unknown
Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.15 seconds
Raw packets sent: 1000 (44.000KB) | Rcvd: 2014 (84.616KB)
Bien entendu 127.0.0.1 est dans la liste blanche de portsentry, sinon le
résultat, de l'extérieur, c'est ça:
nmap -PN xxx.xxx.xxx.xxx
Starting Nmap 5.00 ( http://nmap.org ) at 2011-10-30 06:27 CET
All 1000 scanned ports on nsxxxxxx.ovh.net (xxx.xxx.xxx.xxx) are
filtered
Nmap done: 1 IP address (1 host up) scanned in 201.38 seconds
Et c'est bien ce que je souhaite: aucun port visible, et l'ip de la
machine qui me scanne blacklistés.
Donc le résultat est à la hauteur de mes espérances, sa uf que... J'ai
ouvert dans iptables les ports 20-22 et 23. Et je ne sais pas si c'est
dangereux ou pas ?
On Sun, 30 Oct 2011 20:27:46 +0100, Bernard Schoenacker wrote:
Le Sun, 30 Oct 2011 22:09:47 +0300,
debian-user-french@isalo.org [2]a écrit :
Bonjour, Fail2ban est déjà installé. Mais Fail2ban n' est pas
fiable à 100%...
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=554162 [1] [6] Ne
s'appuyer que sur lui est à mon sens une erreur. Et ça ne répond
pas à ma question... Est-ce dangereux d'avoir des ports (sur
lesquels aucun programme n'écoute) ouverts ? Merci
bonjour,
que donne : nmap -v localhost
slt
bernard
Links:
------
[1] http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=554162
[2] mailto:debian-user-french@isalo.org
Salut,
Le seul danger que je pourrai voir c'est qu'une personne ayant obtenu u n
accès utilisateur à ton serveur puisse mettre un service en à ©coute sur
l'un de ses ports (netcat par exemple). Sauf que les simple utilisateur s
ne sont pas en mesure de mettre un service en écoute sur un port
inférieur à 1024.
$ nc -l 22
nc: Permission denied
Hormis ça, je ne pense pas que ca soit gênant.
---
Shutdown76
http://www.shutdown76.net/
http://www.mynooblife.org/
On Sun, 30 Oct 2011 23:09:13 +0300, wrote:Re,
nmap -v 127.0.0.1
Starting Nmap 5.00 ( http://nmap.org ) at 2011-10-30 21:03 CET
NSE: Loaded 0 scripts for scanning.
Initiating SYN Stealth Scan at 21:03
Scanning localhost.localdomain (127.0.0.1) [1000 ports]
Discovered open port 25/tcp on 127.0.0.1
Discovered open port 80/tcp on 127.0.0.1
Discovered open port 3306/tcp on 127.0.0.1
Discovered open port 110/tcp on 127.0.0.1
Discovered open port 143/tcp on 127.0.0.1
Discovered open port 21/tcp on 127.0.0.1
Discovered open port 993/tcp on 127.0.0.1
Discovered open port 443/tcp on 127.0.0.1
Discovered open port 53/tcp on 127.0.0.1
Discovered open port 995/tcp on 127.0.0.1
Discovered open port 8080/tcp on 127.0.0.1
Discovered open port 8081/tcp on 127.0.0.1
Discovered open port 10024/tcp on 127.0.0.1
Discovered open port 10025/tcp on 127.0.0.1
Completed SYN Stealth Scan at 21:03, 0.07s elapsed (1000 total ports)
Host localhost.localdomain (127.0.0.1) is up (0.0000060s latency).
Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 986 closed ports
PORT STATE SERVICE
21/tcp open ftp
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop3
143/tcp open imap
443/tcp open https
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
8080/tcp open http-proxy
8081/tcp open blackice-icecap
10024/tcp open unknown
10025/tcp open unknown
Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.15 seconds
Raw packets sent: 1000 (44.000KB) | Rcvd: 2014 (84.616KB)
Bien entendu 127.0.0.1 est dans la liste blanche de portsentry, sinon le
résultat, de l'extérieur, c'est ça:
nmap -PN xxx.xxx.xxx.xxx
Starting Nmap 5.00 ( http://nmap.org ) at 2011-10-30 06:27 CET
All 1000 scanned ports on nsxxxxxx.ovh.net (xxx.xxx.xxx.xxx) are
filtered
Nmap done: 1 IP address (1 host up) scanned in 201.38 seconds
Et c'est bien ce que je souhaite: aucun port visible, et l'ip de la
machine qui me scanne blacklistés.
Donc le résultat est à la hauteur de mes espérances, sa uf que... J'ai
ouvert dans iptables les ports 20-22 et 23. Et je ne sais pas si c'est
dangereux ou pas ?
On Sun, 30 Oct 2011 20:27:46 +0100, Bernard Schoenacker wrote:Le Sun, 30 Oct 2011 22:09:47 +0300,
[2]a écrit :Bonjour, Fail2ban est déjà installé. Mais Fail2ban n' est pas
fiable à 100%...
http://bugs.debian.org/cgi-bin/bugreport.cgi?bugU4162 [1] [6] Ne
s'appuyer que sur lui est à mon sens une erreur. Et ça ne répond
pas à ma question... Est-ce dangereux d'avoir des ports (sur
lesquels aucun programme n'écoute) ouverts ? Merci
bonjour,
que donne : nmap -v localhost
slt
bernard
Links:
------
[1] http://bugs.debian.org/cgi-bin/bugreport.cgi?bugU4162
[2] mailto: