Certains linuxiens que je connais me disent que ça ne sert à rien
d'utiliser un pare-feu lorsqu'on a Linux comme OS.
D'autres me disent que c'est une folie que de ne pas en installer un,
car le fait qu'on ait pas trouvé encore, en 30 ans, de virus linuxien ne
signifie pas que quelqu'un n'en trouvera pas un jour.
Comptant passer sous linux cet été, j'aimerais savoir si je dois ou non
prévoir un pare-feu ? Lequel prendre ? Sont-ils aussi bien que le pare
feu ionclus dans Windows XP.
Pour eviter de faire suivre des virus par mail aux copains qui sont sous Windows !! Me dis pas que tu n'ecris qu'a des Linuxiens toi ?
personnellement, je ne reroute __jamais__ des pièces jointes en .exe .scr ou autres windauberies, que ce soit à des linuxiens (qui ne craignent rien) ou a des windowsiens, et même si je trouve que la petite animation qu'on m'a envoyée est bien mignone/sympa/rigolote et que j'ai réussi à l'ouvrir sous wine. pas de reroutage de ce genre de pièces == pas de risque de contamination quelconque pour les autres.
Et pour des doc word par exemple que je veux envoyer, j'ouvre avec openoffice et j'envoie un pdf.
Jean-Claude (06) wrote:
Pour eviter de faire suivre des virus par mail aux copains qui sont sous Windows !!
Me dis pas que tu n'ecris qu'a des Linuxiens toi ?
personnellement, je ne reroute __jamais__ des pièces jointes en .exe
.scr ou autres windauberies, que ce soit à des linuxiens (qui ne
craignent rien) ou a des windowsiens, et même si je trouve que la petite
animation qu'on m'a envoyée est bien mignone/sympa/rigolote et que j'ai
réussi à l'ouvrir sous wine. pas de reroutage de ce genre de pièces ==
pas de risque de contamination quelconque pour les autres.
Et pour des doc word par exemple que je veux envoyer, j'ouvre avec
openoffice et j'envoie un pdf.
Pour eviter de faire suivre des virus par mail aux copains qui sont sous Windows !! Me dis pas que tu n'ecris qu'a des Linuxiens toi ?
personnellement, je ne reroute __jamais__ des pièces jointes en .exe .scr ou autres windauberies, que ce soit à des linuxiens (qui ne craignent rien) ou a des windowsiens, et même si je trouve que la petite animation qu'on m'a envoyée est bien mignone/sympa/rigolote et que j'ai réussi à l'ouvrir sous wine. pas de reroutage de ce genre de pièces == pas de risque de contamination quelconque pour les autres.
Et pour des doc word par exemple que je veux envoyer, j'ouvre avec openoffice et j'envoie un pdf.
Laurent Bruder
Wald Sebastien wrote:
- un exemple de virus de type Backdoor qui infecte les fichiers sachant qu'il faut être root pour infecter les fichiers...
oui mais je suis persuadé que certaines utilisateurs (notemment débutants sous linux) travaillent en root, car ça leur simplifie la vie de pas rentrer le password tout le temps.
De même que certaines distributions bootable sur cd (knoppix par exemple) n'ont pas de mot de passe root par défaut au démarrage, c'est un risque supplémentaire.
Wald Sebastien wrote:
- un exemple de virus de type Backdoor qui infecte les fichiers sachant
qu'il faut être root pour infecter les fichiers...
oui mais je suis persuadé que certaines utilisateurs (notemment
débutants sous linux) travaillent en root, car ça leur simplifie la vie
de pas rentrer le password tout le temps.
De même que certaines distributions bootable sur cd (knoppix par
exemple) n'ont pas de mot de passe root par défaut au démarrage, c'est
un risque supplémentaire.
- un exemple de virus de type Backdoor qui infecte les fichiers sachant qu'il faut être root pour infecter les fichiers...
oui mais je suis persuadé que certaines utilisateurs (notemment débutants sous linux) travaillent en root, car ça leur simplifie la vie de pas rentrer le password tout le temps.
De même que certaines distributions bootable sur cd (knoppix par exemple) n'ont pas de mot de passe root par défaut au démarrage, c'est un risque supplémentaire.
Jean-Claude
Tout à fait d'accord avec Eric.
Et je ne suis qu'un simple particulier à la maison qui : - partage parfois des fichiers avec des amis qui viennent à la maison avec leur portable sous WIndows. - qui exporte des partions distantes pour avoir un peu plus d'espace de stockage. - qui fait des sauvegardes pour ne pas tout perdre en cas de crash. . . .
J.C
Tout à fait d'accord avec Eric.
Et je ne suis qu'un simple particulier à la maison qui :
- partage parfois des fichiers avec des amis qui viennent à la maison avec leur portable sous WIndows.
- qui exporte des partions distantes pour avoir un peu plus d'espace de stockage.
- qui fait des sauvegardes pour ne pas tout perdre en cas de crash.
. . .
Et je ne suis qu'un simple particulier à la maison qui : - partage parfois des fichiers avec des amis qui viennent à la maison avec leur portable sous WIndows. - qui exporte des partions distantes pour avoir un peu plus d'espace de stockage. - qui fait des sauvegardes pour ne pas tout perdre en cas de crash. . . .
J.C
FAb
Laurent Bruder writes:
Wald Sebastien wrote:
- un exemple de virus de type Backdoor qui infecte les fichiers sachant qu'il faut être root pour infecter les fichiers...
oui mais je suis persuadé que certaines utilisateurs (notemment débutants sous linux) travaillent en root, car ça leur simplifie la vie de pas rentrer le password tout le temps.
De même que certaines distributions bootable sur cd (knoppix par exemple) n'ont pas de mot de passe root par défaut au démarrage, c'est un risque supplémentaire.
Mais c'est très dur de corrompre des binaires sur un cd bootables. Enfin je crois :-D
FAb
Laurent Bruder <linux@gnouland.org> writes:
Wald Sebastien wrote:
- un exemple de virus de type Backdoor qui infecte les fichiers sachant qu'il
faut être root pour infecter les fichiers...
oui mais je suis persuadé que certaines utilisateurs (notemment débutants sous
linux) travaillent en root, car ça leur simplifie la vie de pas rentrer le
password tout le temps.
De même que certaines distributions bootable sur cd (knoppix par exemple) n'ont
pas de mot de passe root par défaut au démarrage, c'est un risque supplémentaire.
Mais c'est très dur de corrompre des binaires sur un cd bootables.
Enfin je crois :-D
- un exemple de virus de type Backdoor qui infecte les fichiers sachant qu'il faut être root pour infecter les fichiers...
oui mais je suis persuadé que certaines utilisateurs (notemment débutants sous linux) travaillent en root, car ça leur simplifie la vie de pas rentrer le password tout le temps.
De même que certaines distributions bootable sur cd (knoppix par exemple) n'ont pas de mot de passe root par défaut au démarrage, c'est un risque supplémentaire.
Mais c'est très dur de corrompre des binaires sur un cd bootables. Enfin je crois :-D
FAb
Xavier Roche
Laurent Bruder wrote:
oui mais je suis persuadé que certaines utilisateurs (notemment débutants sous linux) travaillent en root
Bof. Les gestionnaires de fenêtre sous Linux affichent désormais un gros warning en cas de démarrage en r00t. Pas facile de ne pas les voir, le message est très explicite sur les risques.
De même pas mal de programmes vérifient l'uid et préviennent des risques encourus (surtout en cas de fausse manips, au passage)
Laurent Bruder wrote:
oui mais je suis persuadé que certaines utilisateurs (notemment
débutants sous linux) travaillent en root
Bof. Les gestionnaires de fenêtre sous Linux affichent désormais un gros
warning en cas de démarrage en r00t. Pas facile de ne pas les voir, le
message est très explicite sur les risques.
De même pas mal de programmes vérifient l'uid et préviennent des risques
encourus (surtout en cas de fausse manips, au passage)
oui mais je suis persuadé que certaines utilisateurs (notemment débutants sous linux) travaillent en root
Bof. Les gestionnaires de fenêtre sous Linux affichent désormais un gros warning en cas de démarrage en r00t. Pas facile de ne pas les voir, le message est très explicite sur les risques.
De même pas mal de programmes vérifient l'uid et préviennent des risques encourus (surtout en cas de fausse manips, au passage)
Sebastien Reister
VANHULLEBUS Yvan wrote:
Sebastien Reister writes:
[....]
Mais regardons coté serveur.
Dans le cadre d'une utilisation de linux par une personne competente.
On peut placer une machine fesant tourner un serveur web et ce sans firewall tous en ayant quasiment les meme risques.
Si je sait exactement ce que j'installe sur mon linux (et cela est possible), si je sait exactement ce que j'installe avec mon apache, et si je sait bien le configurer, que je rajoute l'ensemble des securité au niveau process sous linux, je peux dire que ma machine est securisé de maniere satisfaisante sans avoir de firewall.
Dans un cadre serveur, puisqu'on a au moins un service d'ouvert, et puisqu'on voudra probablement repondre aux pings (quoique), probablement....
Mais bon, meme si on suppose qu'on peut maitriser son install a ce point, ceinture ET bretelles !
Mon exemple etait d'un point de vue théorique, cad qu'on par l'intermediaire d'outils de securité (chroot, grsec, etc..), par des outils de monitoring (syslog, etc..)
et surtous, une bonne configuration de l'application qui tourne sur le serveur (Apache pour l'exemple).
on peut obtenir une securité equivalente.
Car pour rentrer a distance sur une machine, la plupart du temps c'est au niveau applicatif que cela se passe, donc le firewalll il n'y peut pas grand chose.
NB: j'ai rien de personnel contre les firewall, j'en est moi même eu plusieurs depuis quelques années et mes relations avec eux c'est toujours bien passé (sauf un checkpoint recalcitrant et pas forcement efficace).
[....]
La ou se fait la difference c'est que si la machine se fait trouer (ce qui reste du domaine du possible), le hacker a le champs libre pour rebondir comme il veut.
Alors qu'avec un firwall il est obligé d'initier ses conenctions depuis un port connu (80 ou 443) ce qui le ralenti pas tant que ça.
?????
Euh, si le gars a pris la main sur la machine, il va probablement chercher a passer root en premier (ne serait-ce que pour pouvoir nettoyer toute trace de son passage), et une fois qu'il est root, s'il a besoin d'initier des sessions vers l'exterieur, il pourra facilement binder un port privilegier, comme il pourra aussi facilement modifier la politique de filtrage pour ne pas avoir a se preoccuper de ca !
je fesait cette remarque pour donner la difference entre la presence d'une machine tierce effectuant office de firewall, sur un systeme theorique ou aucun firewall n'existe (ni dessus, ni sur une machine tierce), aprés avoir rooter le rebond peut se faire depuis et vers n'importe qu'elle port.
Dans le cadre de mon exemple de serveur web, si la machine rooter est proteger par un firewall sur une machine tierce, le rebond ne peut se faire que depuis des ports authorisés, sur le firewall, en sortie sur cette machine.
Vous voyez ce que je veux dire ?
Malgré tous on peut utiliser un systeme sur internet sans firewall a condition de bien configurer ça a la base.
Et quel est l'interet ?
Aucun c'est juste une discussion théorique.
Et demontrer aussi que un firewall c'est bien mais qu'il faut plus pour etre en securité mais ç tlm le sait n'est ce pas ? :-)
VANHULLEBUS Yvan wrote:
Sebastien Reister <sreister@activlan.com> writes:
[....]
Mais regardons coté serveur.
Dans le cadre d'une utilisation de linux par une personne competente.
On peut placer une machine fesant tourner un serveur web et ce sans
firewall tous en ayant quasiment les meme risques.
Si je sait exactement ce que j'installe sur mon linux (et cela est
possible), si je sait exactement ce que j'installe avec mon apache, et
si je sait bien le configurer, que je rajoute l'ensemble des securité
au niveau process sous linux, je peux dire que ma machine est securisé
de maniere satisfaisante sans avoir de firewall.
Dans un cadre serveur, puisqu'on a au moins un service d'ouvert, et
puisqu'on voudra probablement repondre aux pings (quoique),
probablement....
Mais bon, meme si on suppose qu'on peut maitriser son install a ce
point, ceinture ET bretelles !
Mon exemple etait d'un point de vue théorique, cad qu'on par
l'intermediaire d'outils de securité (chroot, grsec, etc..), par des
outils de monitoring (syslog, etc..)
et surtous, une bonne configuration de l'application qui tourne sur le
serveur (Apache pour l'exemple).
on peut obtenir une securité equivalente.
Car pour rentrer a distance sur une machine, la plupart du temps c'est
au niveau applicatif que cela se passe, donc le firewalll il n'y peut
pas grand chose.
NB: j'ai rien de personnel contre les firewall, j'en est moi même eu
plusieurs depuis quelques années et mes relations avec eux c'est
toujours bien passé (sauf un checkpoint recalcitrant et pas forcement
efficace).
[....]
La ou se fait la difference c'est que si la machine se fait trouer (ce
qui reste du domaine du possible), le hacker a le champs libre pour
rebondir comme il veut.
Alors qu'avec un firwall il est obligé d'initier ses conenctions
depuis un port connu (80 ou 443) ce qui le ralenti pas tant que ça.
?????
Euh, si le gars a pris la main sur la machine, il va probablement
chercher a passer root en premier (ne serait-ce que pour pouvoir
nettoyer toute trace de son passage), et une fois qu'il est root, s'il
a besoin d'initier des sessions vers l'exterieur, il pourra facilement
binder un port privilegier, comme il pourra aussi facilement modifier
la politique de filtrage pour ne pas avoir a se preoccuper de ca !
je fesait cette remarque pour donner la difference entre la presence
d'une machine tierce effectuant office de firewall, sur un systeme
theorique ou aucun firewall n'existe (ni dessus, ni sur une machine
tierce), aprés avoir rooter le rebond peut se faire depuis et vers
n'importe qu'elle port.
Dans le cadre de mon exemple de serveur web, si la machine rooter est
proteger par un firewall sur une machine tierce, le rebond ne peut se
faire que depuis des ports authorisés, sur le firewall, en sortie sur
cette machine.
Vous voyez ce que je veux dire ?
Malgré tous on peut utiliser un systeme sur internet sans firewall a
condition de bien configurer ça a la base.
Et quel est l'interet ?
Aucun c'est juste une discussion théorique.
Et demontrer aussi que un firewall c'est bien mais qu'il faut plus pour
etre en securité mais ç tlm le sait n'est ce pas ? :-)
Dans le cadre d'une utilisation de linux par une personne competente.
On peut placer une machine fesant tourner un serveur web et ce sans firewall tous en ayant quasiment les meme risques.
Si je sait exactement ce que j'installe sur mon linux (et cela est possible), si je sait exactement ce que j'installe avec mon apache, et si je sait bien le configurer, que je rajoute l'ensemble des securité au niveau process sous linux, je peux dire que ma machine est securisé de maniere satisfaisante sans avoir de firewall.
Dans un cadre serveur, puisqu'on a au moins un service d'ouvert, et puisqu'on voudra probablement repondre aux pings (quoique), probablement....
Mais bon, meme si on suppose qu'on peut maitriser son install a ce point, ceinture ET bretelles !
Mon exemple etait d'un point de vue théorique, cad qu'on par l'intermediaire d'outils de securité (chroot, grsec, etc..), par des outils de monitoring (syslog, etc..)
et surtous, une bonne configuration de l'application qui tourne sur le serveur (Apache pour l'exemple).
on peut obtenir une securité equivalente.
Car pour rentrer a distance sur une machine, la plupart du temps c'est au niveau applicatif que cela se passe, donc le firewalll il n'y peut pas grand chose.
NB: j'ai rien de personnel contre les firewall, j'en est moi même eu plusieurs depuis quelques années et mes relations avec eux c'est toujours bien passé (sauf un checkpoint recalcitrant et pas forcement efficace).
[....]
La ou se fait la difference c'est que si la machine se fait trouer (ce qui reste du domaine du possible), le hacker a le champs libre pour rebondir comme il veut.
Alors qu'avec un firwall il est obligé d'initier ses conenctions depuis un port connu (80 ou 443) ce qui le ralenti pas tant que ça.
?????
Euh, si le gars a pris la main sur la machine, il va probablement chercher a passer root en premier (ne serait-ce que pour pouvoir nettoyer toute trace de son passage), et une fois qu'il est root, s'il a besoin d'initier des sessions vers l'exterieur, il pourra facilement binder un port privilegier, comme il pourra aussi facilement modifier la politique de filtrage pour ne pas avoir a se preoccuper de ca !
je fesait cette remarque pour donner la difference entre la presence d'une machine tierce effectuant office de firewall, sur un systeme theorique ou aucun firewall n'existe (ni dessus, ni sur une machine tierce), aprés avoir rooter le rebond peut se faire depuis et vers n'importe qu'elle port.
Dans le cadre de mon exemple de serveur web, si la machine rooter est proteger par un firewall sur une machine tierce, le rebond ne peut se faire que depuis des ports authorisés, sur le firewall, en sortie sur cette machine.
Vous voyez ce que je veux dire ?
Malgré tous on peut utiliser un systeme sur internet sans firewall a condition de bien configurer ça a la base.
Et quel est l'interet ?
Aucun c'est juste une discussion théorique.
Et demontrer aussi que un firewall c'est bien mais qu'il faut plus pour etre en securité mais ç tlm le sait n'est ce pas ? :-)
Sebastien Reister
FAb wrote:
Laurent Bruder writes:
Wald Sebastien wrote:
- un exemple de virus de type Backdoor qui infecte les fichiers sachant qu'il faut être root pour infecter les fichiers...
oui mais je suis persuadé que certaines utilisateurs (notemment débutants sous linux) travaillent en root, car ça leur simplifie la vie de pas rentrer le password tout le temps.
De même que certaines distributions bootable sur cd (knoppix par exemple) n'ont pas de mot de passe root par défaut au démarrage, c'est un risque supplémentaire.
Mais c'est très dur de corrompre des binaires sur un cd bootables. Enfin je crois :-D
Imaginons que la personne est fait sa gravure sur un CD-RW, et que la distrib gere de maniere native, sans poser de question a l'utilisateur, l'ecriture sur CD-RW, ben le binaire il peut etre corrompu .
ça peut etre possible si les devellopeurs de la distri se disent pas la peine de mettre de secu sur tel ou tel process en ecriture de toute façon c un CD ça marchera pas, et la paf l'accident, le noyeau a fourbement reconnu un CD-RW, et accepte d'ecrire discretos sur le CD un bin qui ne devait pas etre.
FAb wrote:
Laurent Bruder <linux@gnouland.org> writes:
Wald Sebastien wrote:
- un exemple de virus de type Backdoor qui infecte les fichiers sachant qu'il
faut être root pour infecter les fichiers...
oui mais je suis persuadé que certaines utilisateurs (notemment débutants sous
linux) travaillent en root, car ça leur simplifie la vie de pas rentrer le
password tout le temps.
De même que certaines distributions bootable sur cd (knoppix par exemple) n'ont
pas de mot de passe root par défaut au démarrage, c'est un risque supplémentaire.
Mais c'est très dur de corrompre des binaires sur un cd bootables.
Enfin je crois :-D
Imaginons que la personne est fait sa gravure sur un CD-RW, et que la
distrib gere de maniere native, sans poser de question a l'utilisateur,
l'ecriture sur CD-RW, ben le binaire il peut etre corrompu .
ça peut etre possible si les devellopeurs de la distri se disent pas la
peine de mettre de secu sur tel ou tel process en ecriture de toute
façon c un CD ça marchera pas, et la paf l'accident, le noyeau a
fourbement reconnu un CD-RW, et accepte d'ecrire discretos sur le CD un
bin qui ne devait pas etre.
- un exemple de virus de type Backdoor qui infecte les fichiers sachant qu'il faut être root pour infecter les fichiers...
oui mais je suis persuadé que certaines utilisateurs (notemment débutants sous linux) travaillent en root, car ça leur simplifie la vie de pas rentrer le password tout le temps.
De même que certaines distributions bootable sur cd (knoppix par exemple) n'ont pas de mot de passe root par défaut au démarrage, c'est un risque supplémentaire.
Mais c'est très dur de corrompre des binaires sur un cd bootables. Enfin je crois :-D
Imaginons que la personne est fait sa gravure sur un CD-RW, et que la distrib gere de maniere native, sans poser de question a l'utilisateur, l'ecriture sur CD-RW, ben le binaire il peut etre corrompu .
ça peut etre possible si les devellopeurs de la distri se disent pas la peine de mettre de secu sur tel ou tel process en ecriture de toute façon c un CD ça marchera pas, et la paf l'accident, le noyeau a fourbement reconnu un CD-RW, et accepte d'ecrire discretos sur le CD un bin qui ne devait pas etre.
Wald Sebastien
Donc en fait, pour se faire infecter, il faudrait :
- que les utilisateurs travaillent en root. Dans ce cas, ce n'est pas le système Unix qui est en cause mais l'utilisateur. Au contraire d'une attaque par blaster par exemple...
- que l'on invite chez soi le pirate pour qu'il exploite une faille locale ou un cd bootable ce qui est sûrement sympa mais peu réaliste...
Quand à ceux qui me parlent de leurs serveurs, ils restent hors sujet du moins en ce qui me concerne...
Cordialement, Wald Sébastien.
Donc en fait, pour se faire infecter, il faudrait :
- que les utilisateurs travaillent en root. Dans ce cas, ce n'est pas le
système Unix qui est en cause mais l'utilisateur. Au contraire d'une
attaque par blaster par exemple...
- que l'on invite chez soi le pirate pour qu'il exploite une faille
locale ou un cd bootable ce qui est sûrement sympa mais peu réaliste...
Quand à ceux qui me parlent de leurs serveurs, ils restent hors sujet du
moins en ce qui me concerne...
Donc en fait, pour se faire infecter, il faudrait :
- que les utilisateurs travaillent en root. Dans ce cas, ce n'est pas le système Unix qui est en cause mais l'utilisateur. Au contraire d'une attaque par blaster par exemple...
- que l'on invite chez soi le pirate pour qu'il exploite une faille locale ou un cd bootable ce qui est sûrement sympa mais peu réaliste...
Quand à ceux qui me parlent de leurs serveurs, ils restent hors sujet du moins en ce qui me concerne...
Cordialement, Wald Sébastien.
JKB
Le 04-08-2004, à propos de Re: Utilite d'un pare-feu sous Linux ?, Wald Sebastien écrivait dans fr.comp.securite :
Donc en fait, pour se faire infecter, il faudrait :
- que les utilisateurs travaillent en root. Dans ce cas, ce n'est pas le système Unix qui est en cause mais l'utilisateur. Au contraire d'une attaque par blaster par exemple...
- que l'on invite chez soi le pirate pour qu'il exploite une faille locale ou un cd bootable ce qui est sûrement sympa mais peu réaliste...
Faille locale ne veut pas dire que l'intru est assi devant la machine...
Cordialement,
JKB
Le 04-08-2004, à propos de
Re: Utilite d'un pare-feu sous Linux ?,
Wald Sebastien écrivait dans fr.comp.securite :
Donc en fait, pour se faire infecter, il faudrait :
- que les utilisateurs travaillent en root. Dans ce cas, ce n'est pas le
système Unix qui est en cause mais l'utilisateur. Au contraire d'une
attaque par blaster par exemple...
- que l'on invite chez soi le pirate pour qu'il exploite une faille
locale ou un cd bootable ce qui est sûrement sympa mais peu réaliste...
Faille locale ne veut pas dire que l'intru est assi devant la
machine...
Le 04-08-2004, à propos de Re: Utilite d'un pare-feu sous Linux ?, Wald Sebastien écrivait dans fr.comp.securite :
Donc en fait, pour se faire infecter, il faudrait :
- que les utilisateurs travaillent en root. Dans ce cas, ce n'est pas le système Unix qui est en cause mais l'utilisateur. Au contraire d'une attaque par blaster par exemple...
- que l'on invite chez soi le pirate pour qu'il exploite une faille locale ou un cd bootable ce qui est sûrement sympa mais peu réaliste...
Faille locale ne veut pas dire que l'intru est assi devant la machine...
Cordialement,
JKB
Wald Sebastien
Tiens il y a des failles locales distantes ? Il faudra me mettre au courant de ses subtilités car j'avoue ne jamais en avoir entendu parler...
Cordialement, Wald Sébastien.
PS : en plus, de la question qui reste posée, de savoir s'il y a une danger réel de fonctionner avec un linux client sans firewall...
Tiens il y a des failles locales distantes ? Il faudra me mettre au
courant de ses subtilités car j'avoue ne jamais en avoir entendu parler...
Cordialement, Wald Sébastien.
PS : en plus, de la question qui reste posée, de savoir s'il y a une
danger réel de fonctionner avec un linux client sans firewall...