Bonjour à tous
Je viens d'être victime d'un rootkit (suckit!). Je ne suis pas, loin
s'en faut un expert, mais j'ai quand même essayé de comprendre.
Cependant, il reste encore bien des zones d'ombre dans ma pauvre
cervelle:-) Pouvez vous m'aider? (j'ai sûrement commis des imprundences
dans ma config, je vais sûrement écrire des énormités,...pour tout ça,
merci de votre indulgence:-)
Ma config est la suivante:
Lan de 4 pc windows (98 et xp)
Un serveur passerelle linux (rh 9 noyau 2.4.20-8) qui fait du nat avec
iptables(eth0-->LAN - eth1-->internet adsl) . Pour Le firewall je me
suis inspiré de ce que j'ai trouvé sur le web. Sur ce serveur j'ai 3
services accessible de l'extérieur :
-sshd apache et webmin. Les ports 22 80 et 10 000 sont donc "visibles".
(est ce le bon terme? accessibles est il plus approprié?)
Les règles iptables sont donc:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
pareil (avec 80 et 10 000)
1° précision : root peut se connecter en ssh. Je crois avoir compris que
c'était une connerie:-( ?
sinon mes questions sont:
-En qq mots (si c'est possible) qu'est ce qu'un rootkit?
-Le rigolo qui m'a installé ça, il avait réussi à obtenir mon passwd de
root non?
-Alors qu'est ce que ça lui apporte de plus ce truc là?
-Un mot de passe root du genre 10 caractères chiffres/min/MAJ est ce
vraiment une sécurité supplémentaire?
Non. Je ne vois pas la différence (au point de vue sécurité) entre avoir un utilisateur sudoer accesible par ssh et "PermiRootLogin yes" Si ssh n'est pas une version vulnérable, c'est strictement identique.
Non, parce que si l'utilisateur se logue par clé RSA comme précisé par Emmanuel, tu n'as pas le password pour valider le sudo. Si par contre tu utilises le même mécanisme (i.e. le même login/password) pour passer user, puis passer root, effectivement, aucun apport en terme de sécurité.
En fait j'ai toujours entendu dire que le faire était mal, et qu'il fallais préferer un su - depuis un compte sans pouvoirs.
Je crois ce qu'on me dit (quand pleins de sites différents me le disent) mais je n'ai jamais compris pourquoi.
Le chiffrement n'est t'il optimal qu'apres le login ?
Amicalement,
Seb :)
ps : le passe du compte sans pouvoir et different du root et beton aussi.
Non. Je ne vois pas la différence (au point de vue sécurité) entre avoir
un utilisateur sudoer accesible par ssh et "PermiRootLogin yes"
Si ssh n'est pas une version vulnérable, c'est strictement identique.
Non, parce que si l'utilisateur se logue par clé RSA comme précisé par
Emmanuel, tu n'as pas le password pour valider le sudo. Si par contre tu
utilises le même mécanisme (i.e. le même login/password) pour passer
user, puis passer root, effectivement, aucun apport en terme de sécurité.
En fait j'ai toujours entendu dire que le faire était mal, et qu'il
fallais préferer un su - depuis un compte sans pouvoirs.
Je crois ce qu'on me dit (quand pleins de sites différents me le disent)
mais je n'ai jamais compris pourquoi.
Le chiffrement n'est t'il optimal qu'apres le login ?
Amicalement,
Seb :)
ps : le passe du compte sans pouvoir et different du root et beton
aussi.
Non. Je ne vois pas la différence (au point de vue sécurité) entre avoir un utilisateur sudoer accesible par ssh et "PermiRootLogin yes" Si ssh n'est pas une version vulnérable, c'est strictement identique.
Non, parce que si l'utilisateur se logue par clé RSA comme précisé par Emmanuel, tu n'as pas le password pour valider le sudo. Si par contre tu utilises le même mécanisme (i.e. le même login/password) pour passer user, puis passer root, effectivement, aucun apport en terme de sécurité.
En fait j'ai toujours entendu dire que le faire était mal, et qu'il fallais préferer un su - depuis un compte sans pouvoirs.
Je crois ce qu'on me dit (quand pleins de sites différents me le disent) mais je n'ai jamais compris pourquoi.
Le chiffrement n'est t'il optimal qu'apres le login ?
Amicalement,
Seb :)
ps : le passe du compte sans pouvoir et different du root et beton aussi.
Cedric Blancher
Le Wed, 02 Feb 2005 11:46:33 +0000, Sebastien Vincent a écrit :
En fait j'ai toujours entendu dire que le faire était mal, et qu'il fallais préferer un su - depuis un compte sans pouvoirs.
Le su a le gros défaut, à mon avis, d'une part de nécessiter la divulgation du mot de passe root (qui peut être changé si on a passwd en sudo) et la fourniture des pleins pouvoirs.
Je crois ce qu'on me dit (quand pleins de sites différents me le disent) mais je n'ai jamais compris pourquoi.
Je ne dirais pas que c'est
Le chiffrement n'est t'il optimal qu'apres le login ?
Non. Si on se logue en SSHv2, hormis les soucis d'implémentation qu'on peut retrouver à n'importe quel niveau, on n'a pas de soucis. Si on se logue en SSHv1, on prend des risques.
-- Moi je connais pas trop les ng techniquement s'il y a quelqu'un qui s'y connait assez pour m'indiquer une personne qui s'occupe des newsgroups et qui pourrait passer un coup de balai ici... -+- AT in: Guide du Neuneu Usenet - Neuneu comme un balai -+-
Le Wed, 02 Feb 2005 11:46:33 +0000, Sebastien Vincent a écrit :
En fait j'ai toujours entendu dire que le faire était mal, et qu'il
fallais préferer un su - depuis un compte sans pouvoirs.
Le su a le gros défaut, à mon avis, d'une part de nécessiter la
divulgation du mot de passe root (qui peut être changé si on a passwd en
sudo) et la fourniture des pleins pouvoirs.
Je crois ce qu'on me dit (quand pleins de sites différents me le
disent) mais je n'ai jamais compris pourquoi.
Je ne dirais pas que c'est
Le chiffrement n'est t'il optimal qu'apres le login ?
Non. Si on se logue en SSHv2, hormis les soucis d'implémentation qu'on
peut retrouver à n'importe quel niveau, on n'a pas de soucis. Si on se
logue en SSHv1, on prend des risques.
--
Moi je connais pas trop les ng techniquement s'il y a quelqu'un
qui s'y connait assez pour m'indiquer une personne qui s'occupe
des newsgroups et qui pourrait passer un coup de balai ici...
-+- AT in: Guide du Neuneu Usenet - Neuneu comme un balai -+-
Le Wed, 02 Feb 2005 11:46:33 +0000, Sebastien Vincent a écrit :
En fait j'ai toujours entendu dire que le faire était mal, et qu'il fallais préferer un su - depuis un compte sans pouvoirs.
Le su a le gros défaut, à mon avis, d'une part de nécessiter la divulgation du mot de passe root (qui peut être changé si on a passwd en sudo) et la fourniture des pleins pouvoirs.
Je crois ce qu'on me dit (quand pleins de sites différents me le disent) mais je n'ai jamais compris pourquoi.
Je ne dirais pas que c'est
Le chiffrement n'est t'il optimal qu'apres le login ?
Non. Si on se logue en SSHv2, hormis les soucis d'implémentation qu'on peut retrouver à n'importe quel niveau, on n'a pas de soucis. Si on se logue en SSHv1, on prend des risques.
-- Moi je connais pas trop les ng techniquement s'il y a quelqu'un qui s'y connait assez pour m'indiquer une personne qui s'occupe des newsgroups et qui pourrait passer un coup de balai ici... -+- AT in: Guide du Neuneu Usenet - Neuneu comme un balai -+-
