Le sam 07/06/2003 à 18:45, [EMAIL PROTECTED] a écrit : ........./.............. > > Dernière chose tu fais la commande: > > xauth list > > Là tu devrais voir apparaître la liste des machines autorisée suivie du > > magic cookie et de son code de cryptage alpha numérique. En l'occurence > > > > : ta propre machine si tu es déconnecté plus ton fournisseur d'accès si > > > > tu es connecté et personne d'autre si tu es sur une station de bureau. > > Dans ce cas tout est normal concernant les autorisations pour ton > > serveur X. > [EMAIL PROTECTED] patrick]$ xauth list > localhost:0 MIT-MAGIC-COOKIE-1 417........................ > localhost/unix:0 MIT-MAGIC-COOKIE-1 4................................ > [EMAIL PROTECTED] patrick]$ > > là je comprends pas, tu me dit tout est normal concernant les autorisations > du serveur x 11 ... pourtant si je vais sur http://check.sdv.fr , il me dit > port ouvert x 11 ..... , est ce que s'il est ouvert cela ne peut pas dire > qu'il soit accessible a quiqonque ? un detail a du m'echapper . > merci en tout cas pour tes explications.
Ben si ;)) Bien sûr que ton port est ouvert sans ça pas de x Maintenant pour sécuriser l'accès au serveur X: deux protocoles sont en oeuvre : 1) l'autorisation au niveau de la machine, c'est ce que nous avons testé par "xhost" : ceci doit te donner "access control enabled,only authorized clients can connect" et éventuellment la liste les clients autorisés. On peut autoriser tout les client par une commande "xhost -" très dangereux bien sûr mais peut-être nécessaire dans certains cas. "xhost +" remet en place le contrôle de connexion. À noter que la commande xhost n'agit que le temps de la session puis retour au paramétrage par défaut (je ne connais pas de distribution sans autorisation ...heureusement) 2) Le "MAGIC-COOKIE" dans le répertoire utilisateur qui améliore la sécurité par l'utilisation d'une clé. En conséquence de quoi je dis que ta machine est "normale" ou normalement protégée sur X en tout cas pas "déprotégée" (si j'ose dire) : en clair tu n'as pas fait de connerie ;) 3) Après on peut protéger les données (non cryptées) du trafic grâce à ssh mais c'est une autre histoire ça! 4) Le port est ouvert et vu comme tel par une scan de tes ports (mais ça n'est pas le seul) mais normalementune session X non autorisée ne sera pas possible sur ta bécanne(sauf si tu tombes sur un gourou de la chose mais dans ce cas de toute façon rien ne pourra vraiment te protéger sauf toi même si tu es de niveau). 5) Pour que la requête sur ce port soient ignorée il faudra établir des règles sur tes connexions Ip : le plus simple et efficace avec un fichier préconfiguré (standalone pour un poste isolé avec internet par modem): shorewall. Tu verras qu'à ce moment la requête sur le port 6000 (c'est X11) sera ignorée et le port non repéré par ce genre de scan. 6) Concernant Aol il est possible que peng utilise un port bloqué par défaut par shorewall ; dans ce cas il faudra connaître lequel (voir le site, faq, mailing list...) et l'autoriser si on choisit le parefeu. Pour terminer même en l'état un Linux reste beaucoup plus sûr qu'un Windows.Ne serait-ce que même si un port est ouvert encore faut-il qu'il y ait une faille de sécurité dans le programme qui l'utilise (voir mises à jour de sécurité) Mais aucun n'est un coffre fort, c'est sûr ;) -- A. Salaün
signature.asc
Description: PGP signature
