On Tue, 6 Jul 2010 23:14:40 +0200, Vincent-Xavier JUMEL
<[email protected]> wrote:
> Le 06 juillet à 21:37 patrick.forums.info a écrit
>> Re,
>>
>> J'ai une machine qui me sert de DNS, firewall, serveur LPR, et routeur (
> 5
>> interfaces ethernet ) quand je suis a Paris le WE.
>>
> 5 ips, 5 cartes ou autre ?
autre : une carte 4 ports et une carte 1 port 1000! et donc 5 ips. et 3-400
lignes de firewall ( avec du copier coller )
>
>> Elle ne fait rien d'autre, SSH seulement depuis l'intérieur, pas de
>> serveur web ni ftp, sendmail de temps en temps.
>>
>> Le reste ce sont une machine principale une machine pour les cartes DVB
> S
>> et T, deux portables, deux imprimentes, matos electronique ( DMM4040,
>> AFG3xxx TDS3xxx )
>>
>> Je souhaiterais toujours plus de sécurité et surtout y mettre asterisk
>> qui me semble n'est pas connu pour l'absence de failles.
>>
> que dit la documentation ?
Ok beaucoups de problemes viennent du fait qu'Asterisk est livré "tout
ouvert", il faut éditer les fichiers de config. Mais il y a eu pas mal de
failles. Sinon il y a peut etre eu des ameliorations depuis quelques
années, je vais relire la doc, si on peut le lancer depuis du non root
c'est cool.
>
>> Du coup je mettrais aussi bind dans une autre cage et LPR si je peux (
> bind
>> fonctionne en user non root mais pas les autres )
>>
> Pour bind, c'est pas un souci, pour lpr non plus (y'a cups d'ailleurs
> maintenant)
Cups, je l'ai passé par la fenetre il y a quelques années. A l'époque
les problemes étaient: * incompatible avec udev * incompatible avec ma
DL5600 * incompatible avec les traceurs hpgl * incompatible avec les
fonctions d'impression des oscilloscopes * configuration par http seulement
( ce qui oblige a etre sur la machine cible ), l'absence d'outils console (
en plus d'outils graphiques ) est éliminatoire pour moi * Fout la merde
dans certaines réalisations électroniques utilisant les port // ou serie
* pas de colorisation des sources C,C++.
Maintenant avec ma Xerox 6130 certains problemes seraient résolus, peut
etre ai-je jugé sur une des premieres versions.
>
>> Ce qui m'inquiete le plus c'est que je lit dans les forums qu'il y a
> tout
>> le temp des scans, qu'on peut limiter les logs mais pas les attaques en
>> changeant les ports. J'ai mis au bac a sable ( par le firewall ) tout
> tout
>> ce qui n'est pas listé ci dessus et les simples tentatives de
> connections
>> sont totalement innexistantes, pourtant il y a un dépot de nom en .name
> .
>>
> Je ne suis pas sûr de comprendre ce dernier paragraphe
On cherche toujours plus de sécurité par parano surtout que je ne
comprends pas pourquoi je n'ai pas les scans que tout le monde a ( voir les
archives des listes ). Nerim ne bloque rien. J'ai beau recompiler les
commandes sur une autre machine
et les remettre dessus ca ne change rien, si je change l'adresse ip d'un
portable pour prendre celle du modem et le mettre a la place le temps d'un
nmap, j'ai bien les événements du bac a sable.
Mais en fonctionnement normal rien.
En conclusion j'ai un peu l'impression que si on peut lancer les daemons en
non root, le chroot n'apporte rien de plus.
>
> Vx
>
_________________________________
Linux mailing list
[email protected]
http://lists.parinux.org/mailman/listinfo/linux
