D'abord merci pour la réponse. Le mer 31/07/2002 à 12:18, Marc SCHAEFER a écrit : > > Je m'excuse si j'envoie deux fois, mais il me semble que le message [...] > Quelle distribution et version ? Quel outil de détection d'intrusion ?
Distribution MandrakeLinux 8.1 et ce doit être msec. De plus je doit dire qu'avec les droits d'un utilisateur je ne peux plus lister le contenu de /usr/bin par exemple, mais je peux toujour utiliser su par exemple. Là je dois avouer ma faiblaisse quand au droit Unix, car j'ai le droit de entrer dans le répertoire (x), mais pas le droit lecture (r). Cela signifie que l'on ne peut pas lister, mais tout de même exécuter un fichier ayant les droits idoines dans ce répertoire ? > Bon, peut-être simplement quelqu'un/quelque chose a ajouté ces fichiers > en suid root. Ou le programme d'intrusion detection n'avait pas encore > été lancé. Bien, mais quel est l'avantage de suid? C'est de lancer un prog comme utilisateur et que le programme soit en fait lancé en root? > > NB: une idée pourrait être de faire la liste des programmes suid de la > machine et de les restreindre à un groupe donné, genre `pingok', > `suok', etc. Ainsi en cas d'exploit -- en particulier sur une machine > réellement multiutilisateur au niveau d'UNIX -- on est tranquille. Et comment fait-on cela ? [...] > Ces documents étant créés par l'utilisateur final, je conseille d'ajouter > un masque (voir la doc de Samba) excluant ces bits. Ou de monter le > fs exporté avec nosuid,nosgid comme options. > C'est juste, ils sont créé par l'utilisateur final. Mais le problème est de pouvoir y avoir accès, même si l'on est pas l'utilisateur en question. Par exemple de pouvoir pour mon père de créer un document dans le répertoire du comptable pour que ce dernier puisse le relire. Car mon père travail avec W98 et on ne peut pas attribuer des droits. Je sais je voudrais bien passer à tout linux, mais .... j'ai encore des applications qui fonctionnes sous Windows (et que sous Windows). > > Jul 31 04:01:53 ntsrv : - Opened ports : tcp 0 0 > > *:960 *:* LISTEN =20 > > 1628/rpc.rquotad > > daemon NFS, probablement inutile, supprimer. ben je travail sous linux moi, je veux pas me connecter au serveur par smb (me semble qu'il y a des problèmes si par exemple la communication est coupée. Impossible de démonter le fs etc. Je m'explique j'ai une connexion lignelouée de moins de 1km, y zont coupé la communication durant la nuit, alors que le serveur UNIX avait contacté une machine NT et avait monté un répertoire samba. Impossible alors, même après reconnexion de la ligne de démonter le répertoire, sans parler des problèmes de temps après, car si je liste /mnt/... cela prend un temps TRES long pour afficher quoi que ce soit. Seul moyen que j'ai trouvé rebooter la machine.... :( Je suis ouvert à tout > > De même pour les autres services: LDAP, IMAP/ssl, etc. Firewaller > PostgreSQL sauf si utilisé par ODBC sur les clients p.ex. Voir supprimer > l'écoute TCP de ce service. Ben LDAP est utilisé pour loguer les machines UNIX, et je veux également l'utiliser comme annuaire et IMAP je l'utilise pour la messagerie interne, PostgeSQL y'a une base qui tourne et y'a des clients qui y accèdent par ODBC et bientôt en natif. > > Idéalement sur le serveur il ne devrait rester que Samba, voire SSH si la > maintenance est distante. > Ben pour moi je préfèrerait supprimer SAMBA. Effectivement je trouve beaucoup d'avantage avec ssh, puisque je peux l'administer de ma machine linux, même lorsque je suis dans un autre bureau (c'est-à-dire tout le temps) > non, mais le moins de services tournent, le moins de cheveux blanc en cas > de problème de sécurité. Là j'approuve, mais bon je vais pas mettre un serveur par service en local. Et pis je veux que mon serveur SERVE! C'est vrai que c'est le serveur qui a le plus de service. L'autre (NT) partage uniquement l'impression et les fichiers. > > Je l'accorde qu'en local c'est en général moins risqué, mais. > Mais quoi????.... Ca y est j'ai des cheveux blanc! ;) Bon, je vais regarder les logs, et ce par la console sur le serveur lui-même. Jean-Bruno -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.