Re: [Confirme] Sécurité réseau
On Mon, 2 Apr 2001 19:43:11 +0200, you wrote: Merci beaucoup pour tous vos conseils, je m'y mets et tout marche ! Je ne connais pas beacoup les nouveaux systmes de Mandrake sur la scurit avec les "niveaux de scurit" mais ils me paraissent plus compliqus qu'une config. manuelle (avant, j'arrivais m'y reprer avec inetd mais avec xinetd et les services qui tournent pas dfaut, ce n'est pas vident ! :) ) J'ai cru comprendre que tout le monde dconseille de laisser le serveur telnet mais pourant, s'il n'y a pas de comptes par dfaut (tels que "ftp" "ftp" ou "guest" "guest"), n'est ce pas securis ? Est ce que qqun peut me donner un moyen simple de lancer une session de l'exterieur sans trop de problmes ? SSH ? Merci encore pour votre aide. telenrt n'est pas scuris car le mot de passe est envoy en clair sur le rseau. Le meilleur moyen est ssh Frederic Bastok : J'ai un serveur qui tourne sous mdk7.2. Il recupere la connexion ADSL et la partage, il essaie de faire firewall (je peine un peu avec d'ailleurs ) et il fait serveur www et serveur ftp (wu-ftp). Regarder mandrakesecurity ? Il est en premanence connect et j'ai un petit problme de scurit car trop de services tournent dessus ... : # nmap localhost Starting nmap V. 2.53 by [EMAIL PROTECTED] ( www.insecure.org/nmap/ ) Interesting ports on localhost.localdomain (127.0.0.1): (The 1509 ports scanned but not shown below are in state: closed) Port State Service 21/tcp openftp 23/tcp opentelnet 53/tcp opendomain 80/tcp openhttp 111/tcpopensunrpc 113/tcpopenauth 139/tcpopennetbios-ssn 515/tcpopenprinter 631/tcpopenunknown 991/tcpopenunknown 1012/tcp openunknown 3306/tcp openmysql 5308/tcp opencfengine 6000/tcp openX11 Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds Certains ne me disent rien (sunrpc, printer ...). Comment puis je scuriser un peu plus le serveur (en enlevant un peu des ces services : les inutiles) sachant que j'utilise xinitd ? De plus, j'aimerais que X11 n'apparaisse pas dans un scan ? Est ce possible ? sunrpc : nfs printer : dmon d'impression pour les enlver, utiliser chkconfig __ ifrance.com, l'email gratuit le plus complet de l'Internet ! vos emails depuis un navigateur, en POP3, sur Minitel, sur le WAP... http://www.ifrance.com/_reloc/email.emailif -- Frederic Bastok
Re: [Confirme] Sécurité réseau
On Sun, 1 Apr 2001 23:20:40 +0200, you wrote: J'ai un serveur qui tourne sous mdk7.2. Il recupere la connexion ADSL et la partage, il essaie de faire firewall (je peine un peu avec d'ailleurs ...) et il fait serveur www et serveur ftp (wu-ftp). Regarder mandrakesecurity ? Il est en premanence connect et j'ai un petit problme de scurit car trop de services tournent dessus ... : # nmap localhost Starting nmap V. 2.53 by [EMAIL PROTECTED] ( www.insecure.org/nmap/ ) Interesting ports on localhost.localdomain (127.0.0.1): (The 1509 ports scanned but not shown below are in state: closed) Port State Service 21/tcp openftp 23/tcp opentelnet 53/tcp opendomain 80/tcp openhttp 111/tcpopensunrpc 113/tcpopenauth 139/tcpopennetbios-ssn 515/tcpopenprinter 631/tcpopenunknown 991/tcpopenunknown 1012/tcp openunknown 3306/tcp openmysql 5308/tcp opencfengine 6000/tcp openX11 Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds Certains ne me disent rien (sunrpc, printer ...). Comment puis je scuriser un peu plus le serveur (en enlevant un peu des ces services : les inutiles) sachant que j'utilise xinitd ? De plus, j'aimerais que X11 n'apparaisse pas dans un scan ? Est ce possible ? sunrpc : nfs printer : dmon d'impression pour les enlver, utiliser chkconfig Pouvez vous me donner tous vos conseils pour la scurisation ? J'aimerais au moins dormir tranquillement ds que je ne suis pas derrire les logs (ippl). installer mandrakesecurity, cela pargne des prises de ttes. -- Frederic Bastok
Re: [Confirme] Sécurité réseau
Merci beaucoup pour tous vos conseils, je m'y mets et tout marche ! Je ne connais pas beacoup les nouveaux systmes de Mandrake sur la scurit avec les "niveaux de scurit" mais ils me paraissent plus compliqus qu'une config. manuelle (avant, j'arrivais m'y reprer avec inetd mais avec xinetd et les services qui tournent pas dfaut, ce n'est pas vident ! :) ) J'ai cru comprendre que tout le monde dconseille de laisser le serveur telnet mais pourant, s'il n'y a pas de comptes par dfaut (tels que "ftp" "ftp" ou "guest" "guest"), n'est ce pas securis ? Est ce que qqun peut me donner un moyen simple de lancer une session de l'exterieur sans trop de problmes ? SSH ? Merci encore pour votre aide. Ct Frederic Bastok : J'ai un serveur qui tourne sous mdk7.2. Il recupere la connexion ADSL et la partage, il essaie de faire firewall (je peine un peu avec d'ailleurs ) et il fait serveur www et serveur ftp (wu-ftp). Regarder mandrakesecurity ? Il est en premanence connect et j'ai un petit problme de scurit car trop de services tournent dessus ... : # nmap localhost Starting nmap V. 2.53 by [EMAIL PROTECTED] ( www.insecure.org/nmap/ ) Interesting ports on localhost.localdomain (127.0.0.1): (The 1509 ports scanned but not shown below are in state: closed) Port State Service 21/tcp openftp 23/tcp opentelnet 53/tcp opendomain 80/tcp openhttp 111/tcpopensunrpc 113/tcpopenauth 139/tcpopennetbios-ssn 515/tcpopenprinter 631/tcpopenunknown 991/tcpopenunknown 1012/tcp openunknown 3306/tcp openmysql 5308/tcp opencfengine 6000/tcp openX11 Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds Certains ne me disent rien (sunrpc, printer ...). Comment puis je scuriser un peu plus le serveur (en enlevant un peu des ces services : les inutiles) sachant que j'utilise xinitd ? De plus, j'aimerais que X11 n'apparaisse pas dans un scan ? Est ce possible ? sunrpc : nfs printer : dmon d'impression pour les enlver, utiliser chkconfig __ ifrance.com, l'email gratuit le plus complet de l'Internet ! vos emails depuis un navigateur, en POP3, sur Minitel, sur le WAP... http://www.ifrance.com/_reloc/email.emailif
[Confirme] Sécurité réseau
J'ai un serveur qui tourne sous mdk7.2. Il recupere la connexion ADSL et la partage, il essaie de faire firewall (je peine un peu avec d'ailleurs ...) et il fait serveur www et serveur ftp (wu-ftp). Il est en premanence connecté et j'ai un petit problème de sécurité car trop de services tournent dessus ... : # nmap localhost Starting nmap V. 2.53 by [EMAIL PROTECTED] ( www.insecure.org/nmap/ ) Interesting ports on localhost.localdomain (127.0.0.1): (The 1509 ports scanned but not shown below are in state: closed) Port State Service 21/tcp openftp 23/tcp opentelnet 53/tcp opendomain 80/tcp openhttp 111/tcpopensunrpc 113/tcpopenauth 139/tcpopennetbios-ssn 515/tcpopenprinter 631/tcpopenunknown 991/tcpopenunknown 1012/tcp openunknown 3306/tcp openmysql 5308/tcp opencfengine 6000/tcp openX11 Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds Certains ne me disent rien (sunrpc, printer ...). Comment puis je sécuriser un peu plus le serveur (en enlevant un peu des ces services : les inutiles) sachant que j'utilise xinitd ? De plus, j'aimerais que X11 n'apparaisse pas dans un scan ? Est ce possible ? Pouvez vous me donner tous vos conseils pour la sécurisation ? J'aimerais au moins dormir tranquillement dès que je ne suis pas derrière les logs (ippl). Je connaissais bien inetd (avec /etc/inetd.conf) mais je ne connais pas du tout xinetd et je ne comprends pas pkoi il y a un repertoire xinetd.d ... ? Ct __ ifrance.com, l'email gratuit le plus complet de l'Internet ! vos emails depuis un navigateur, en POP3, sur Minitel, sur le WAP... http://www.ifrance.com/_reloc/email.emailif
Re: [Confirme] Sécurité réseau
Bonjour, At 23:20 01/04/01 +0200, you wrote: J'ai un serveur qui tourne sous mdk7.2. Il recupere la connexion ADSL et la partage, il essaie de faire firewall (je peine un peu avec d'ailleurs ...) et il fait serveur www et serveur ftp (wu-ftp). Il est en premanence connect et j'ai un petit problme de scurit car trop de services tournent dessus ... : # nmap localhost Starting nmap V. 2.53 by [EMAIL PROTECTED] ( www.insecure.org/nmap/ ) Interesting ports on localhost.localdomain (127.0.0.1): (The 1509 ports scanned but not shown below are in state: closed) Port State Service 21/tcp openftp 23/tcp opentelnet Voir dans /etc/xinetd.d les fichiers telnet et wu-ftpd pour y appliquer des restriction ou les supprimer 53/tcp opendomain Arretes le DNS s'i tu ne l'a pas configur. : commande ntsysv puis decocher named. 80/tcp openhttp A toi de voir, je suppose que t'as au moins un site Web qui tourne! 111/tcpopensunrpc Je sais pas trop pour celui la, mais il ne tourne pas chez moi. 113/tcpopenauth Necessaire je pense pour le service de login 139/tcpopennetbios-ssn Tu as probablement samba qui tourne ici! Ca permet les partages de fichier comme sous Windows! ( dsactiver si tu ne t'en sert pas) : commande ntsysv puis dcocher smb. 515/tcpopenprinter 631/tcpopenunknown 991/tcpopenunknown 1012/tcp openunknown 3306/tcp openmysql 5308/tcp opencfengine 6000/tcp openX11 Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds Certains ne me disent rien (sunrpc, printer ...). Comment puis je scuriser un peu plus le serveur (en enlevant un peu des ces services : les inutiles) sachant que j'utilise xinitd ? De plus, j'aimerais que X11 n'apparaisse pas dans un scan ? Est ce possible ? Pouvez vous me donner tous vos conseils pour la scurisation ? J'aimerais au moins dormir tranquillement ds que je ne suis pas derrire les logs (ippl). Je connaissais bien inetd (avec /etc/inetd.conf) mais je ne connais pas du tout xinetd et je ne comprends pas pkoi il y a un repertoire xinetd.d ... ? Ct Je rponds partiellement de mmoire, mais je ne garantis pas la justesse de l'info. Dans le rpertoire /etc/xinetd.d tu as un fichier par service et portant le nom du service. Il faut diter chaque fichier et mettre disable=yes pour ceux que tu veux desactiver, ou simplement supprimer le fichier correspondant. Par exemple, le fichier wu-ftpd concerne ftp, telnet - le service telnet etc ... Je te conseille deja d'enlever telnet, ftp ;-) ou bien d'ajouter dans /etc/xinetd.conf une ligne only_from= ton ip comme ca tous les services ne seront accessibles que par ta machine. Mohamadi ZONGO
