Bonjour à tous,
J'ai besoin de votre aide. J'ai installé la dernière version de RedHat (v9)
mais je n'ai aucune connaissance en matière de sécurité sur Linux. Quelqu'un
peut-il m'aider ? Après avoir fait un test sur ShieldsUp!, je me suis rendu
compte que plusieurs ports étaient ouverts ou fermés. Pourtant, tous
devraient être invisibles... Comment faire ?
Je souhaite uniquement me connecter à Internet et recevoir (ou envoyer) mes
emails.
J'ai besoin de votre aide et d'explications simples car j'ai peur que les
réponses soient du "chinois" pour moi... ;-)
Amicalement,
Guilhem.
J'ai besoin de votre aide et d'explications simples car j'ai peur que les réponses soient du "chinois" pour moi... ;-)
Bonjour Il existe plusieurs firewall trés simples à utiliser. Pour ma par j'utilise guarddog. Tu peux configurer simplement ce que tu veux faire (net + courrier+ etc..) et il crée automatiquement des règles. Plus simple tu ne peux pas. Pour l'installer, tu dois rechercher avec Mandrake le bon package et l'installer. En suite en étant sous root, tu configure le firewall !! Règle de base : Eviter de se connecter à Internet en Root, mais plutôt créer un utilisateur avec des droits simples !!
A+ et Bien le Bonjour de Corse
J'ai besoin de votre aide et d'explications simples car j'ai peur que les
réponses soient du "chinois" pour moi... ;-)
Bonjour
Il existe plusieurs firewall trés simples à utiliser. Pour ma par j'utilise
guarddog. Tu peux configurer simplement ce que tu veux faire (net +
courrier+ etc..) et il crée automatiquement des règles.
Plus simple tu ne peux pas. Pour l'installer, tu dois rechercher avec
Mandrake le bon package et l'installer. En suite en étant sous root, tu
configure le firewall !!
Règle de base : Eviter de se connecter à Internet en Root, mais plutôt créer
un utilisateur avec des droits simples !!
J'ai besoin de votre aide et d'explications simples car j'ai peur que les réponses soient du "chinois" pour moi... ;-)
Bonjour Il existe plusieurs firewall trés simples à utiliser. Pour ma par j'utilise guarddog. Tu peux configurer simplement ce que tu veux faire (net + courrier+ etc..) et il crée automatiquement des règles. Plus simple tu ne peux pas. Pour l'installer, tu dois rechercher avec Mandrake le bon package et l'installer. En suite en étant sous root, tu configure le firewall !! Règle de base : Eviter de se connecter à Internet en Root, mais plutôt créer un utilisateur avec des droits simples !!
A+ et Bien le Bonjour de Corse
Marwan FeanoR/var Burelle
On 31 Aug 2003 10:58:42 GMT Corsica wrote:
J'ai besoin de votre aide et d'explications simples car j'ai peur que les réponses soient du "chinois" pour moi... ;-)
Bonjour Il existe plusieurs firewall trés simples à utiliser. Pour ma par j'utilise guarddog. Tu peux configurer simplement ce que tu veux faire (net + courrier+ etc..) et il crée automatiquement des règles. Plus simple tu ne peux pas. Pour l'installer, tu dois rechercher avec Mandrake le bon package et l'installer. En suite en étant sous root, tu configure le firewall !!
Hum... pas besoin d'un firewall pour ça. La première chose à faire est de désactiver les services inutiles. Dans les utilitaires de configuration de ta RedHat, tu trouveras un outil qui concerne les services lancer au démarrage. Désactive en particulier inetd (ou xinetd maintenant sur les RedHat), httpd (s'il est présent), sendmail à priori il sera plus simple d'envoyer et de recevoir tes mails via ton client, linuxconf (si RedHat met toujours se truc ignoble), ect ...
Tu peux vérifier avec la commande netstat (lancer par root) quel ports sont en écoute et quel est le programme correspondant :
# netstat --inet -ap | grep LISTEN
Te donnera l'ensemble des ports en écoute, avec le nom du programme associé (si tu ne lance pas la commande en tant que root, la dernière partie ne sera pas complète, voir vide).
Enfin, si vraiment il reste quelque chose, regarde du côté d'un firewall, mais franchement, ça ne me semble pas nécessaire.
On 31 Aug 2003 10:58:42 GMT
Corsica <ahmad.clement-virezmoi@tiscali.fr> wrote:
J'ai besoin de votre aide et d'explications simples car j'ai peur que
les réponses soient du "chinois" pour moi... ;-)
Bonjour
Il existe plusieurs firewall trés simples à utiliser. Pour ma par
j'utilise guarddog. Tu peux configurer simplement ce que tu veux faire
(net + courrier+ etc..) et il crée automatiquement des règles.
Plus simple tu ne peux pas. Pour l'installer, tu dois rechercher avec
Mandrake le bon package et l'installer. En suite en étant sous root, tu
configure le firewall !!
Hum... pas besoin d'un firewall pour ça. La première chose à faire est de
désactiver les services inutiles. Dans les utilitaires de configuration de
ta RedHat, tu trouveras un outil qui concerne les services lancer au
démarrage. Désactive en particulier inetd (ou xinetd maintenant sur les
RedHat), httpd (s'il est présent), sendmail à priori il sera plus simple
d'envoyer et de recevoir tes mails via ton client, linuxconf (si RedHat
met toujours se truc ignoble), ect ...
Tu peux vérifier avec la commande netstat (lancer par root) quel ports
sont en écoute et quel est le programme correspondant :
# netstat --inet -ap | grep LISTEN
Te donnera l'ensemble des ports en écoute, avec le nom du programme
associé (si tu ne lance pas la commande en tant que root, la dernière
partie ne sera pas complète, voir vide).
Enfin, si vraiment il reste quelque chose, regarde du côté d'un firewall,
mais franchement, ça ne me semble pas nécessaire.
J'ai besoin de votre aide et d'explications simples car j'ai peur que les réponses soient du "chinois" pour moi... ;-)
Bonjour Il existe plusieurs firewall trés simples à utiliser. Pour ma par j'utilise guarddog. Tu peux configurer simplement ce que tu veux faire (net + courrier+ etc..) et il crée automatiquement des règles. Plus simple tu ne peux pas. Pour l'installer, tu dois rechercher avec Mandrake le bon package et l'installer. En suite en étant sous root, tu configure le firewall !!
Hum... pas besoin d'un firewall pour ça. La première chose à faire est de désactiver les services inutiles. Dans les utilitaires de configuration de ta RedHat, tu trouveras un outil qui concerne les services lancer au démarrage. Désactive en particulier inetd (ou xinetd maintenant sur les RedHat), httpd (s'il est présent), sendmail à priori il sera plus simple d'envoyer et de recevoir tes mails via ton client, linuxconf (si RedHat met toujours se truc ignoble), ect ...
Tu peux vérifier avec la commande netstat (lancer par root) quel ports sont en écoute et quel est le programme correspondant :
# netstat --inet -ap | grep LISTEN
Te donnera l'ensemble des ports en écoute, avec le nom du programme associé (si tu ne lance pas la commande en tant que root, la dernière partie ne sera pas complète, voir vide).
Enfin, si vraiment il reste quelque chose, regarde du côté d'un firewall, mais franchement, ça ne me semble pas nécessaire.
Hum... pas besoin d'un firewall pour ça. La première chose à faire est de désactiver les services inutiles. Dans les utilitaires de configuration de ta RedHat, tu trouveras un outil qui concerne les services lancer au démarrage. Désactive en particulier inetd (ou xinetd maintenant sur les RedHat), httpd (s'il est présent), sendmail à priori il sera plus simple d'envoyer et de recevoir tes mails via ton client, linuxconf (si RedHat met toujours se truc ignoble), ect ...
j'aurai aimé avoir plus d'explications sur l'interet de desactiver xinetd, est ce possible? je comprends bien le risque pour httpd, sendmail, etc... xinetd presente -t-il aussi des failles ? merci de m'accorder un peu de votre temps
Tu peux vérifier avec la commande netstat (lancer par root) quel ports sont en écoute et quel est le programme correspondant :
# netstat --inet -ap | grep LISTEN
Te donnera l'ensemble des ports en écoute, avec le nom du programme associé (si tu ne lance pas la commande en tant que root, la dernière partie ne sera pas complète, voir vide).
Enfin, si vraiment il reste quelque chose, regarde du côté d'un firewall, mais franchement, ça ne me semble pas nécessaire.
"Marwan FeanoR/var Burelle" <burelle@lri.fr> a écrit
Hum... pas besoin d'un firewall pour ça. La première chose à faire est de
désactiver les services inutiles. Dans les utilitaires de configuration de
ta RedHat, tu trouveras un outil qui concerne les services lancer au
démarrage. Désactive en particulier inetd (ou xinetd maintenant sur les
RedHat), httpd (s'il est présent), sendmail à priori il sera plus simple
d'envoyer et de recevoir tes mails via ton client, linuxconf (si RedHat
met toujours se truc ignoble), ect ...
j'aurai aimé avoir plus d'explications sur l'interet de desactiver xinetd,
est ce possible?
je comprends bien le risque pour httpd, sendmail, etc... xinetd
presente -t-il aussi des failles ?
merci de m'accorder un peu de votre temps
Tu peux vérifier avec la commande netstat (lancer par root) quel ports
sont en écoute et quel est le programme correspondant :
# netstat --inet -ap | grep LISTEN
Te donnera l'ensemble des ports en écoute, avec le nom du programme
associé (si tu ne lance pas la commande en tant que root, la dernière
partie ne sera pas complète, voir vide).
Enfin, si vraiment il reste quelque chose, regarde du côté d'un firewall,
mais franchement, ça ne me semble pas nécessaire.
Hum... pas besoin d'un firewall pour ça. La première chose à faire est de désactiver les services inutiles. Dans les utilitaires de configuration de ta RedHat, tu trouveras un outil qui concerne les services lancer au démarrage. Désactive en particulier inetd (ou xinetd maintenant sur les RedHat), httpd (s'il est présent), sendmail à priori il sera plus simple d'envoyer et de recevoir tes mails via ton client, linuxconf (si RedHat met toujours se truc ignoble), ect ...
j'aurai aimé avoir plus d'explications sur l'interet de desactiver xinetd, est ce possible? je comprends bien le risque pour httpd, sendmail, etc... xinetd presente -t-il aussi des failles ? merci de m'accorder un peu de votre temps
Tu peux vérifier avec la commande netstat (lancer par root) quel ports sont en écoute et quel est le programme correspondant :
# netstat --inet -ap | grep LISTEN
Te donnera l'ensemble des ports en écoute, avec le nom du programme associé (si tu ne lance pas la commande en tant que root, la dernière partie ne sera pas complète, voir vide).
Enfin, si vraiment il reste quelque chose, regarde du côté d'un firewall, mais franchement, ça ne me semble pas nécessaire.
Hum... pas besoin d'un firewall pour ça. La première chose à faire est de désactiver les services inutiles.
Salut ! Tout à fait d'accord avec toi. Mais il est frai que pour un débutant (comme lui & moi) un firewall sécurise encore un peu plus. Question d'un débutant : Si les services sont ouverts, mais qu'un firewall bloque les ports, y-a-t-il quand même danger ??
bonjour
_simplement_, donc pas tout à fait exact
un service tourne dès le démarrage, firewall ou pas un firewall est un programme (quelquefois très près de l'OS) avec ses faiblesses et failles que se passera-t-il s'il plante? si on le plante? s'il a un défaut? pas de service donc pas de sevice par ce service (pour WXP ou WNT ou W2K, msblast et 135 par exemple: pas de 135 pas de msblast, correctif ou pas!)
en ce qui concerne le FireWall1 de chez Checkpoint (pas gratuit, loin de là), installé sur Unix, la première chose que l'on fait, sur une machine non connectée au réseau à ce moment, c'est de supprimer tout ce qui n'est pas indispensable, non seulement on vire les programmes inutiles, mais on va jusqu'à supprimer les manuels, on bride toutes les autorisations (exemple: pas de logon root depuis ailleurs que la console, pas de telnet simple en entrée), de la vraie paranoïa!
et ce n'est qu'ensuite que l'on installe le FW et là, par principe, tout ce qui n'est pas autorisé, est interdit
sur ce fil, j'en ai profité pour aller voir http://olivieraj.free.fr/fr/linux/information/firewall/ c'est bien mais déjà bien technique
finalement je vois sur une autre contribution "j'aurai aimé avoir plus d'explications sur l'interet de desactiver xinetd, est ce possible? je comprends bien le risque pour httpd, sendmail, etc... xinetd presente -t-il aussi des failles ?" la question est mal posée, une réponse en sécurité est "tout logiciel a des failles, s'il ne sert pas, ne pas le faire tourner, une de ses failles sera peut-être découverte un jour et alors il vaut mieux ne pas l'avoir sur sa machine"
Cordialement
-- mi4all (Murphy was an optimist
Corsica wrote:
Hum... pas besoin d'un firewall pour ça. La première chose à faire est de
désactiver les services inutiles.
Salut !
Tout à fait d'accord avec toi. Mais il est frai que pour un débutant (comme
lui & moi) un firewall sécurise encore un peu plus.
Question d'un débutant : Si les services sont ouverts, mais qu'un firewall
bloque les ports, y-a-t-il quand même danger ??
bonjour
_simplement_, donc pas tout à fait exact
un service tourne dès le démarrage, firewall ou pas
un firewall est un programme (quelquefois très près de l'OS) avec ses
faiblesses et failles
que se passera-t-il s'il plante? si on le plante? s'il a un défaut?
pas de service donc pas de sevice par ce service
(pour WXP ou WNT ou W2K, msblast et 135 par exemple: pas de 135 pas de
msblast, correctif ou pas!)
en ce qui concerne le FireWall1 de chez Checkpoint (pas gratuit, loin de
là), installé sur Unix, la première chose que l'on fait, sur une machine
non connectée au réseau à ce moment, c'est de supprimer tout ce qui
n'est pas indispensable, non seulement on vire les programmes inutiles,
mais on va jusqu'à supprimer les manuels, on bride toutes les
autorisations (exemple: pas de logon root depuis ailleurs que la
console, pas de telnet simple en entrée), de la vraie paranoïa!
et ce n'est qu'ensuite que l'on installe le FW
et là, par principe, tout ce qui n'est pas autorisé, est interdit
sur ce fil, j'en ai profité pour aller voir
http://olivieraj.free.fr/fr/linux/information/firewall/
c'est bien mais déjà bien technique
finalement je vois sur une autre contribution
"j'aurai aimé avoir plus d'explications sur l'interet de desactiver xinetd,
est ce possible?
je comprends bien le risque pour httpd, sendmail, etc... xinetd
presente -t-il aussi des failles ?"
la question est mal posée, une réponse en sécurité est "tout logiciel a
des failles, s'il ne sert pas, ne pas le faire tourner, une de ses
failles sera peut-être découverte un jour et alors il vaut mieux ne pas
l'avoir sur sa machine"
Hum... pas besoin d'un firewall pour ça. La première chose à faire est de désactiver les services inutiles.
Salut ! Tout à fait d'accord avec toi. Mais il est frai que pour un débutant (comme lui & moi) un firewall sécurise encore un peu plus. Question d'un débutant : Si les services sont ouverts, mais qu'un firewall bloque les ports, y-a-t-il quand même danger ??
bonjour
_simplement_, donc pas tout à fait exact
un service tourne dès le démarrage, firewall ou pas un firewall est un programme (quelquefois très près de l'OS) avec ses faiblesses et failles que se passera-t-il s'il plante? si on le plante? s'il a un défaut? pas de service donc pas de sevice par ce service (pour WXP ou WNT ou W2K, msblast et 135 par exemple: pas de 135 pas de msblast, correctif ou pas!)
en ce qui concerne le FireWall1 de chez Checkpoint (pas gratuit, loin de là), installé sur Unix, la première chose que l'on fait, sur une machine non connectée au réseau à ce moment, c'est de supprimer tout ce qui n'est pas indispensable, non seulement on vire les programmes inutiles, mais on va jusqu'à supprimer les manuels, on bride toutes les autorisations (exemple: pas de logon root depuis ailleurs que la console, pas de telnet simple en entrée), de la vraie paranoïa!
et ce n'est qu'ensuite que l'on installe le FW et là, par principe, tout ce qui n'est pas autorisé, est interdit
sur ce fil, j'en ai profité pour aller voir http://olivieraj.free.fr/fr/linux/information/firewall/ c'est bien mais déjà bien technique
finalement je vois sur une autre contribution "j'aurai aimé avoir plus d'explications sur l'interet de desactiver xinetd, est ce possible? je comprends bien le risque pour httpd, sendmail, etc... xinetd presente -t-il aussi des failles ?" la question est mal posée, une réponse en sécurité est "tout logiciel a des failles, s'il ne sert pas, ne pas le faire tourner, une de ses failles sera peut-être découverte un jour et alors il vaut mieux ne pas l'avoir sur sa machine"
Cordialement
-- mi4all (Murphy was an optimist
Marwan FeanoR/var Burelle
On 31 Aug 2003 14:17:11 GMT Ermelir wrote:
j'aurai aimé avoir plus d'explications sur l'interet de desactiver xinetd, est ce possible? je comprends bien le risque pour httpd, sendmail, etc... xinetd presente -t-il aussi des failles ? merci de m'accorder un peu de votre temps
Ce n'est pas une question de faille, xinetd (ou inetd) écoute pour certains services, si vous n'avez aucune raison d'utiliser ces services pourquoi les faire tourner ?
De plus, vous n'avez pas de garantie qu'il n'y ai aucune faille dans xinetd ou dans les services qu'il appelle, même si cette faille n'a pas encore été découverte.
Au passage, lancé par inetd, il y a souvent des services comme finger, identd et sur les RedHat a une époque linuxconf, ces services ne sont pas forcément "sûre".
On 31 Aug 2003 14:17:11 GMT
Ermelir <ermelir@ifrance.com> wrote:
j'aurai aimé avoir plus d'explications sur l'interet de desactiver
xinetd, est ce possible?
je comprends bien le risque pour httpd, sendmail, etc... xinetd
presente -t-il aussi des failles ?
merci de m'accorder un peu de votre temps
Ce n'est pas une question de faille, xinetd (ou inetd) écoute pour
certains services, si vous n'avez aucune raison d'utiliser ces
services pourquoi les faire tourner ?
De plus, vous n'avez pas de garantie qu'il n'y ai aucune faille dans
xinetd ou dans les services qu'il appelle, même si cette faille n'a
pas encore été découverte.
Au passage, lancé par inetd, il y a souvent des services comme finger,
identd et sur les RedHat a une époque linuxconf, ces services ne sont
pas forcément "sûre".
j'aurai aimé avoir plus d'explications sur l'interet de desactiver xinetd, est ce possible? je comprends bien le risque pour httpd, sendmail, etc... xinetd presente -t-il aussi des failles ? merci de m'accorder un peu de votre temps
Ce n'est pas une question de faille, xinetd (ou inetd) écoute pour certains services, si vous n'avez aucune raison d'utiliser ces services pourquoi les faire tourner ?
De plus, vous n'avez pas de garantie qu'il n'y ai aucune faille dans xinetd ou dans les services qu'il appelle, même si cette faille n'a pas encore été découverte.
Au passage, lancé par inetd, il y a souvent des services comme finger, identd et sur les RedHat a une époque linuxconf, ces services ne sont pas forcément "sûre".
"Ermelir" a écrit dans le message de news:3f52011b$0$16191$
bonjour, j'aurai aimé avoir plus d'explications sur l'interet de desactiver xinetd, est ce possible? je comprends bien le risque pour httpd, sendmail, etc... xinetd presente -t-il aussi des failles ? merci de m'accorder un peu de votre temps
Xinetd est essentiellement un wrapper : il permet de contrôler la connection à certains services, principalement en lancant et en donnant la main à une instance du programme qui gère le service.(1)
Si tu n'as aucun service à proposer tu n'as pas besoin d'xinetd.
De plus xinetd est lui même un programme avec potentiellement des failles de sécurité.
Eric.
(1) ça peut faire un peu le café, voir man :-)
"Ermelir" <ermelir@ifrance.com> a écrit dans le message de
news:3f52011b$0$16191$626a54ce@news.free.fr...
bonjour,
j'aurai aimé avoir plus d'explications sur l'interet de desactiver xinetd,
est ce possible?
je comprends bien le risque pour httpd, sendmail, etc... xinetd
presente -t-il aussi des failles ?
merci de m'accorder un peu de votre temps
Xinetd est essentiellement un wrapper : il permet de contrôler la connection
à certains services, principalement en lancant et en donnant la main à une
instance du programme qui gère le service.(1)
Si tu n'as aucun service à proposer tu n'as pas besoin d'xinetd.
De plus xinetd est lui même un programme avec potentiellement des failles de
sécurité.
"Ermelir" a écrit dans le message de news:3f52011b$0$16191$
bonjour, j'aurai aimé avoir plus d'explications sur l'interet de desactiver xinetd, est ce possible? je comprends bien le risque pour httpd, sendmail, etc... xinetd presente -t-il aussi des failles ? merci de m'accorder un peu de votre temps
Xinetd est essentiellement un wrapper : il permet de contrôler la connection à certains services, principalement en lancant et en donnant la main à une instance du programme qui gère le service.(1)
Si tu n'as aucun service à proposer tu n'as pas besoin d'xinetd.
De plus xinetd est lui même un programme avec potentiellement des failles de sécurité.
Eric.
(1) ça peut faire un peu le café, voir man :-)
Eric Razny
"Corsica" a écrit dans le message de news:bism5v$cgc1p$
Hum... pas besoin d'un firewall pour ça. La première chose à faire est de
désactiver les services inutiles.
Salut ! Tout à fait d'accord avec toi. Mais il est frai que pour un débutant (comme
lui & moi) un firewall sécurise encore un peu plus.
Néanmoins il faut *comprendre* comment cela fonctionne sinon tu risque d'avoir un sentiment de fausse sécurité. Les tutoriels sur netfilter sont bien fait et en français(1)
Question d'un débutant : Si les services sont ouverts, mais qu'un firewall bloque les ports, y-a-t-il quand même danger ??
Oui. Hypothèse : Service A (serveur web par exemple) ouvert légitimement. Service B (ftp?), avec une faille grave -compromission root- , ouvert mais filtré (et je suppose que tu n'a pas d'utilisateurs "internes" qui y ont accès)
Si un jour une faille dans A permet à un pirate de passer utilisateur sans droit particulier sur la machine il utilise ensuite B pour en prendre le contrôle. Principe de base : supprimer les services non utilisés. En fait on devrait aussi supprimer les exécutables ou libs non utilisés, mais c'est vrai que c'est galère. Au moins conserver l'idée du risque en tête.
Autre possibilité une pièce jointe que tu as malencontreusement lancé (hum!) et qui exploite cette faille locale.
Eric.
(1) loin de moi d'être anglophobe! Mais pour un newbie ne parlant pas anglais le français est un plus et il comprendra ensuite le besoin de se mettre vite à au moins lire l'anglais :)
"Corsica" <ahmad.clement-virezmoi@tiscali.fr> a écrit dans le message de
news:bism5v$cgc1p$1@ID-194259.news.uni-berlin.de...
Hum... pas besoin d'un firewall pour ça. La première chose à faire est
de
désactiver les services inutiles.
Salut !
Tout à fait d'accord avec toi. Mais il est frai que pour un débutant
(comme
lui & moi) un firewall sécurise encore un peu plus.
Néanmoins il faut *comprendre* comment cela fonctionne sinon tu risque
d'avoir un sentiment de fausse sécurité. Les tutoriels sur netfilter sont
bien fait et en français(1)
Question d'un débutant : Si les services sont ouverts, mais qu'un firewall
bloque les ports, y-a-t-il quand même danger ??
Oui.
Hypothèse :
Service A (serveur web par exemple) ouvert légitimement.
Service B (ftp?), avec une faille grave -compromission root- , ouvert mais
filtré (et je suppose que tu n'a pas d'utilisateurs "internes" qui y ont
accès)
Si un jour une faille dans A permet à un pirate de passer utilisateur sans
droit particulier sur la machine il utilise ensuite B pour en prendre le
contrôle.
Principe de base : supprimer les services non utilisés.
En fait on devrait aussi supprimer les exécutables ou libs non utilisés,
mais c'est vrai que c'est galère. Au moins conserver l'idée du risque en
tête.
Autre possibilité une pièce jointe que tu as malencontreusement lancé (hum!)
et qui exploite cette faille locale.
Eric.
(1) loin de moi d'être anglophobe! Mais pour un newbie ne parlant pas
anglais le français est un plus et il comprendra ensuite le besoin de se
mettre vite à au moins lire l'anglais :)
"Corsica" a écrit dans le message de news:bism5v$cgc1p$
Hum... pas besoin d'un firewall pour ça. La première chose à faire est de
désactiver les services inutiles.
Salut ! Tout à fait d'accord avec toi. Mais il est frai que pour un débutant (comme
lui & moi) un firewall sécurise encore un peu plus.
Néanmoins il faut *comprendre* comment cela fonctionne sinon tu risque d'avoir un sentiment de fausse sécurité. Les tutoriels sur netfilter sont bien fait et en français(1)
Question d'un débutant : Si les services sont ouverts, mais qu'un firewall bloque les ports, y-a-t-il quand même danger ??
Oui. Hypothèse : Service A (serveur web par exemple) ouvert légitimement. Service B (ftp?), avec une faille grave -compromission root- , ouvert mais filtré (et je suppose que tu n'a pas d'utilisateurs "internes" qui y ont accès)
Si un jour une faille dans A permet à un pirate de passer utilisateur sans droit particulier sur la machine il utilise ensuite B pour en prendre le contrôle. Principe de base : supprimer les services non utilisés. En fait on devrait aussi supprimer les exécutables ou libs non utilisés, mais c'est vrai que c'est galère. Au moins conserver l'idée du risque en tête.
Autre possibilité une pièce jointe que tu as malencontreusement lancé (hum!) et qui exploite cette faille locale.
Eric.
(1) loin de moi d'être anglophobe! Mais pour un newbie ne parlant pas anglais le français est un plus et il comprendra ensuite le besoin de se mettre vite à au moins lire l'anglais :)
Ermelir
bonsoir
merci pour vos reponses j'ai serveur http et ftp a offrir comme service, je vais donc laisser xinetd; d'autant plus que c'est la methode que je connais, et je n'ai pas trop envie d'essuyer les platres. et en plus s'il fait le café, c'est la fete ;)
"Eric Razny" a écrit dans le message de news:3f5227ce$0$1149$
"Ermelir" a écrit dans le message de news:3f52011b$0$16191$
bonjour, j'aurai aimé avoir plus d'explications sur l'interet de desactiver xinetd,
est ce possible? je comprends bien le risque pour httpd, sendmail, etc... xinetd presente -t-il aussi des failles ? merci de m'accorder un peu de votre temps
Xinetd est essentiellement un wrapper : il permet de contrôler la connection
à certains services, principalement en lancant et en donnant la main à une instance du programme qui gère le service.(1)
Si tu n'as aucun service à proposer tu n'as pas besoin d'xinetd.
De plus xinetd est lui même un programme avec potentiellement des failles de
sécurité.
Eric.
(1) ça peut faire un peu le café, voir man :-)
bonsoir
merci pour vos reponses
j'ai serveur http et ftp a offrir comme service, je vais donc laisser
xinetd; d'autant plus que c'est la methode que je connais, et je n'ai pas
trop envie d'essuyer les platres.
et en plus s'il fait le café, c'est la fete ;)
"Eric Razny" <trash2@razny.net> a écrit dans le message de
news:3f5227ce$0$1149$626a54ce@news.free.fr...
"Ermelir" <ermelir@ifrance.com> a écrit dans le message de
news:3f52011b$0$16191$626a54ce@news.free.fr...
bonjour,
j'aurai aimé avoir plus d'explications sur l'interet de desactiver
xinetd,
est ce possible?
je comprends bien le risque pour httpd, sendmail, etc... xinetd
presente -t-il aussi des failles ?
merci de m'accorder un peu de votre temps
Xinetd est essentiellement un wrapper : il permet de contrôler la
connection
à certains services, principalement en lancant et en donnant la main à une
instance du programme qui gère le service.(1)
Si tu n'as aucun service à proposer tu n'as pas besoin d'xinetd.
De plus xinetd est lui même un programme avec potentiellement des failles
de
merci pour vos reponses j'ai serveur http et ftp a offrir comme service, je vais donc laisser xinetd; d'autant plus que c'est la methode que je connais, et je n'ai pas trop envie d'essuyer les platres. et en plus s'il fait le café, c'est la fete ;)
"Eric Razny" a écrit dans le message de news:3f5227ce$0$1149$
"Ermelir" a écrit dans le message de news:3f52011b$0$16191$
bonjour, j'aurai aimé avoir plus d'explications sur l'interet de desactiver xinetd,
est ce possible? je comprends bien le risque pour httpd, sendmail, etc... xinetd presente -t-il aussi des failles ? merci de m'accorder un peu de votre temps
Xinetd est essentiellement un wrapper : il permet de contrôler la connection
à certains services, principalement en lancant et en donnant la main à une instance du programme qui gère le service.(1)
Si tu n'as aucun service à proposer tu n'as pas besoin d'xinetd.
De plus xinetd est lui même un programme avec potentiellement des failles de
sécurité.
Eric.
(1) ça peut faire un peu le café, voir man :-)
Eric Jacoboni
me4all writes:
(pour WXP ou WNT ou W2K, msblast et 135 par exemple: pas de 135 pas de msblast, correctif ou pas!)
Ah, c'est donc vous qui n'arrêtez pas d'essayer de vous connecter chez moi ?
-- Éric Jacoboni, né il y a 1365793051 secondes
me4all <mi4all@netscape.net> writes:
(pour WXP ou WNT ou W2K, msblast et 135 par exemple: pas de 135 pas
de msblast, correctif ou pas!)
Ah, c'est donc vous qui n'arrêtez pas d'essayer de vous connecter chez
moi ?
(pour WXP ou WNT ou W2K, msblast et 135 par exemple: pas de 135 pas de msblast, correctif ou pas!)
Ah, c'est donc vous qui n'arrêtez pas d'essayer de vous connecter chez moi ?
-- Éric Jacoboni, né il y a 1365793051 secondes
Ermelir
Bonjour,
"Eric Razny" a écrit
Pour ftp ça dépend de l'usage, mais pour http tu ferais mieux, je pense, de
le mettre en standalone. Imagine que ta machine va devoir lancer une instance du serveur à chaque connexion si tu mets ça en xinetd. En plus c'est chiant à faire et si tu utilise apache (1) tu as plein de directive pour effectuer des filtrages supplémentaire.
a vrai dire je ne me suis jamais posé la question; est ce que tu aurais des
sources d'infos sur xinetd ou non? pour l'instant mes services ne sont accesibles que de l'intranet mais l'ouverture sur le net est envisagée; meme si le traffic escompté est faible, tout ce que je veux c'est le moins de risque possible, donc je devrais rester sous xinetd non?
Perso j'ai ftp, http, ssh, smtp et pop sans xinetd et je ne m'en porte pas plus mal.
Par contre si un service est peu utilisé et prend "trop" de ressource xinetd
reprend tout son intérêt (2)
Eric
(1) c'est un exemple, simplement parce que je connais mal les autres. (2) il y a d'autres avantages, comme une limite pour éviter certains DOS, mais tu découvrira ça en même temps que le café :)
Bonjour,
"Eric Razny" <trash2@razny.net> a écrit
Pour ftp ça dépend de l'usage, mais pour http tu ferais mieux, je pense,
de
le mettre en standalone.
Imagine que ta machine va devoir lancer une instance du serveur à chaque
connexion si tu mets ça en xinetd. En plus c'est chiant à faire et si tu
utilise apache (1) tu as plein de directive pour effectuer des filtrages
supplémentaire.
a vrai dire je ne me suis jamais posé la question; est ce que tu aurais des
sources d'infos sur xinetd ou non?
pour l'instant mes services ne sont accesibles que de l'intranet
mais l'ouverture sur le net est envisagée; meme si le traffic escompté est
faible, tout ce que je veux c'est le moins de risque possible, donc je
devrais rester sous xinetd non?
Perso j'ai ftp, http, ssh, smtp et pop sans xinetd et je ne m'en porte pas
plus mal.
Par contre si un service est peu utilisé et prend "trop" de ressource
xinetd
reprend tout son intérêt (2)
Eric
(1) c'est un exemple, simplement parce que je connais mal les autres.
(2) il y a d'autres avantages, comme une limite pour éviter certains DOS,
mais tu découvrira ça en même temps que le
café :)
Pour ftp ça dépend de l'usage, mais pour http tu ferais mieux, je pense, de
le mettre en standalone. Imagine que ta machine va devoir lancer une instance du serveur à chaque connexion si tu mets ça en xinetd. En plus c'est chiant à faire et si tu utilise apache (1) tu as plein de directive pour effectuer des filtrages supplémentaire.
a vrai dire je ne me suis jamais posé la question; est ce que tu aurais des
sources d'infos sur xinetd ou non? pour l'instant mes services ne sont accesibles que de l'intranet mais l'ouverture sur le net est envisagée; meme si le traffic escompté est faible, tout ce que je veux c'est le moins de risque possible, donc je devrais rester sous xinetd non?
Perso j'ai ftp, http, ssh, smtp et pop sans xinetd et je ne m'en porte pas plus mal.
Par contre si un service est peu utilisé et prend "trop" de ressource xinetd
reprend tout son intérêt (2)
Eric
(1) c'est un exemple, simplement parce que je connais mal les autres. (2) il y a d'autres avantages, comme une limite pour éviter certains DOS, mais tu découvrira ça en même temps que le café :)
