> Je m'excuse si j'envoie deux fois, mais il me semble que le message > n'est pas passé.
> Voici ce qui s'est passé. Des changement dans les fichier se sont Quelle distribution et version ? Quel outil de détection d'intrusion ? > Jul 31 04:01:35 ntsrv : - Added suid root files : /bin/linuxconf > Jul 31 04:01:35 ntsrv : - Added suid root files : /bin/mount > Jul 31 04:01:35 ntsrv : - Added suid root files : /bin/ping > Jul 31 04:01:35 ntsrv : - Added suid root files : /bin/su Bon, peut-être simplement quelqu'un/quelque chose a ajouté ces fichiers en suid root. Ou le programme d'intrusion detection n'avait pas encore été lancé. > Jul 31 04:01:35 ntsrv : - Added suid root files : /usr/bin/chfn Pour info, problème de sécurité avec util-linux. NB: une idée pourrait être de faire la liste des programmes suid de la machine et de les restreindre à un groupe donné, genre `pingok', `suok', etc. Ainsi en cas d'exploit -- en particulier sur une machine réellement multiutilisateur au niveau d'UNIX -- on est tranquille. > Et voici pour quelques documents (y'en a beaucoup trop) : Ces documents étant créés par l'utilisateur final, je conseille d'ajouter un masque (voir la doc de Samba) excluant ces bits. Ou de monter le fs exporté avec nosuid,nosgid comme options. > Jul 31 04:01:53 ntsrv : - Opened ports : tcp 0 0 > *:960 *:* LISTEN =20 > 1628/rpc.rquotad daemon NFS, probablement inutile, supprimer. De même pour les autres services: LDAP, IMAP/ssl, etc. Firewaller PostgreSQL sauf si utilisé par ODBC sur les clients p.ex. Voir supprimer l'écoute TCP de ce service. Idéalement sur le serveur il ne devrait rester que Samba, voire SSH si la maintenance est distante. > Ma question est est-ce grave docteur? non, mais le moins de services tournent, le moins de cheveux blanc en cas de problème de sécurité. Je l'accorde qu'en local c'est en général moins risqué, mais.
