Re: Renforcer la securite
[EMAIL PROTECTED] (Nicolas Ledez) wrote: Existe il donc un equivalent libre à Portsentry ? scanlogd http://packages.debian.org/stable/net/scanlogd.html scandetd http://packages.debian.org/stable/net/scandetd.html
Re: Renforcer la securite
Le Mon, Aug 05, 2002 at 08:08:03PM +0200, Raphaël SurcouF a écrit : Portsentry n'est pas une solution en soi, outre le fait qu'il ne soit pas libre... Il n'ôte pas le besoin d'avoir un réseau privé pour ton Existe il donc un equivalent libre à Portsentry ? -- Ca fait beaucoup marrer les gens de voir qu'on peut se moquer de la politique, alors que dans l'ensemble, c'est surtout la politique qui se moque de nous. -- Coluche Nicolas Ledez - Virtual Net (www.virtual-net.fr) pgpjWnmeAewrT.pgp Description: PGP signature
Re: Renforcer la securite
On Mon, Aug 05, 2002 at 02:21:01AM +0200, Nicolas STRANSKY wrote: Si tu veux vraiment faire comme cela, je te conseille d'utiliser xinetd. Il y a rlinetd aussi. Il peut utiliser les règles de tcpd (host.allow / .deny), sans lancer celui-ci. Pour moi, il a l'avantage par rapport à xinetd d'avoir une licence compatible GPL. -- Lionel
Re: Renforcer la securite
On Sun, Aug 04, 2002 at 04:40:25PM +0200, regis wrote: [Portmap] NFS l'utilise, je ne connais pas d'autre programme qui l'utilisent. Donc si tu n'utilise pas NFS désactive le c'est une faille sur le système On peut également utiliser NFS sans portmap en ajoutant nolock à la liste des options (si on a pas besoin de locking, bien entendu). (Pas que je conseille de le faire, Ça marche pour moi c'est tout) /Y
Re: Renforcer la securite
Le lun 05/08/2002 à 11:38, Yves Rutschle a écrit : On Sun, Aug 04, 2002 at 04:40:25PM +0200, regis wrote: [Portmap] NFS l'utilise, je ne connais pas d'autre programme qui l'utilisent. Donc si tu n'utilise pas NFS désactive le c'est une faille sur le système On peut également utiliser NFS sans portmap en ajoutant nolock à la liste des options (si on a pas besoin de locking, bien entendu). Hélas, des applications telles que Evolution, Galeon ont besoin du locking... En outre, si on veut protéger un serveur NFS, il faut le minimum d'utilisateurs sur la machine et placer celle-ci derrière un pare-feu. -- Raphaël SurcouF [EMAIL PROTECTED] #debianfr @ Undernet.org
Re: Renforcer la securite
Le lun 05/08/2002 à 11:38, Yves Rutschle a écrit : On Sun, Aug 04, 2002 at 04:40:25PM +0200, regis wrote: [Portmap] NFS l'utilise, je ne connais pas d'autre programme qui l'utilisent. Donc si tu n'utilise pas NFS désactive le c'est une faille sur le système On peut également utiliser NFS sans portmap en ajoutant nolock à la liste des options (si on a pas besoin de locking, bien entendu). Hélas, des applications telles que Evolution, Galeon ont besoin du locking... En outre, si on veut protéger un serveur NFS, il faut le minimum d'utilisateurs sur la machine et placer celle-ci derrière un pare-feu. Pour moi, c'est bon, j'ai trouvé portsentry et il est super ! J'ai testé ma config sur http://www.securitymetrics.com/portscan.adp tous les port apparaissent comme stealth Vive linux ! (c'est trop cool)
Re: Renforcer la securite
Le lun 05/08/2002 à 17:06, Nicolas Massé a écrit : Le lun 05/08/2002 à 11:38, Yves Rutschle a écrit : On Sun, Aug 04, 2002 at 04:40:25PM +0200, regis wrote: [Portmap] NFS l'utilise, je ne connais pas d'autre programme qui l'utilisent. Donc si tu n'utilise pas NFS désactive le c'est une faille sur le système On peut également utiliser NFS sans portmap en ajoutant nolock à la liste des options (si on a pas besoin de locking, bien entendu). Hélas, des applications telles que Evolution, Galeon ont besoin du locking... En outre, si on veut protéger un serveur NFS, il faut le minimum d'utilisateurs sur la machine et placer celle-ci derrière un pare-feu. Pour moi, c'est bon, j'ai trouvé portsentry et il est super ! J'ai testé ma config sur http://www.securitymetrics.com/portscan.adp tous les port apparaissent comme stealth Portsentry n'est pas une solution en soi, outre le fait qu'il ne soit pas libre... Il n'ôte pas le besoin d'avoir un réseau privé pour ton NFS, de protéger celui-ci par un pare-feu et de veiller aux mises à jour de sécurité. La sécuritété informatique est un tout. -- Raphaël SurcouF [EMAIL PROTECTED] #debianfr @ Undernet.org
Renforcer la securite
Bonjour, Je me suis mis dans l'idée de renforcer la sécurité de mon serveur : J'ai les ports 9, 13, 37, 111 et 901, les 5 dépendent de inetd. J'ai donc mis dans mon host.allow : ALL: .intra.net et dans mon host.deny : ALL: ALL Malgré cela, les ports restent accessibles de l'extérieur ! Que faire ? Merci
Re: Renforcer la securite
Utilise un firewall comme iptables et ipchain et bloque les ports. Dominique Arpin___[espace gestionnaire réseau courbe] http://www.espacecourbe.com/ téléphone514.933.9861 télécopieur 514.933.9546 On Sun, 4 Aug 2002, =?ISO-8859-1?Q?Nicolas Mass=E9?= wrote: Bonjour, Je me suis mis dans l'idée de renforcer la sécurité de mon serveur : J'ai les ports 9, 13, 37, 111 et 901, les 5 dépendent de inetd. J'ai donc mis dans mon host.allow : ALL: .intra.net et dans mon host.deny : ALL: ALL Malgré cela, les ports restent accessibles de l'extérieur ! Que faire ? Merci -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Renforcer la securite
Le Dimanche 4 Août 2002 15:34, Dominique Arpin a écrit : Utilise un firewall comme iptables et ipchain et bloque les ports. Ce n'est pas la solution, c'est une solution de facilité je trouve. Perso je pense qu'il faut que les ports inutiles soit fermer As tu pensé a fermer les ports (en commentant) dans ton /etc/inetd.conf et ensuite /etc/init.d/inetd restart Ensuite si c'est un port qui es ouvert au boot part exemple sunrpc : update-rc.d -f portmap remove A+
Re: Renforcer la securite
Bon dimanche à tous, Ainsi parlait regis [EMAIL PROTECTED] : Ce n'est pas la solution, c'est une solution de facilité je trouve. Perso je pense qu'il faut que les ports inutiles soit fermer As tu pensé a fermer les ports (en commentant) dans ton /etc/inetd.conf et ensuite /etc/init.d/inetd restart Ensuite si c'est un port qui es ouvert au boot part exemple sunrpc : update-rc.d -f portmap remove Je rebondis. À quoi sert portmap ? Je pensais que celui-ci servait pour le NFS mais comme Debian le lance dans /etc/rcS.d/ je n'ai pas osé l'enlever de peur qu'il serve à autre chose. Yannick -- You can destroy your now by worrying about tomorrow. -- Janis Joplin
Re: Renforcer la securite
update-rc.d -f portmap remove Je rebondis. À quoi sert portmap ? Je pensais que celui-ci servait pour le NFS mais comme Debian le lance dans /etc/rcS.d/ je n'ai pas osé l'enlever de peur qu'il serve à autre chose. Portmap sert a assigner des port RPC qui ne sont pas encore utilisé as des programmes qui en ont besoin. NFS l'utilise, je ne connais pas d'autre programme qui l'utilisent. Donc si tu n'utilise pas NFS désactive le c'est une faille sur le système D'ailleurs je ne comprends pas pourquoi debian l'installe par défaut car il n'es pas utilisé. A+
Re: Renforcer la securite
Le Dimanche 4 Août 2002 15:34, Dominique Arpin a écrit : Utilise un firewall comme iptables et ipchain et bloque les ports. Ce n'est pas la solution, c'est une solution de facilité je trouve. Perso je pense qu'il faut que les ports inutiles soit fermer As tu pensé a fermer les ports (en commentant) dans ton /etc/inetd.conf et ensuite /etc/init.d/inetd restart Ensuite si c'est un port qui es ouvert au boot part exemple sunrpc : update-rc.d -f portmap remove A+ Pour portmap, c'est réglé, update-rc.d, marche nickel ! Mais pour inetd.conf, c'est pas pareil ! (J'ai, par exemple, besoin de date et swat en local) Comment faire ? Normalement hosts.allow/hosts.deny doit fonctionner ! J'ai même essayé de ne laisser que ALL: ALL dans hosts.deny, je peux toujours y accéder, de n'importe quelle adresse IP !
Re: Renforcer la securite
Le dim 04/08/2002 à 16:44, Nicolas Massé a écrit : Pour portmap, c'est réglé, update-rc.d, marche nickel ! Mais pour inetd.conf, c'est pas pareil ! (J'ai, par exemple, besoin de date et swat en local) Comment faire ? Normalement hosts.allow/hosts.deny doit fonctionner ! J'ai même essayé de ne laisser que ALL: ALL dans hosts.deny, je peux toujours y accéder, de n'importe quelle adresse IP ! hosts.allow et hosts.deny sont pour les programmes qui utilisent tcpd, pas pour ceux qui se basent uniquement sur inetd. Pour swat, ça ne devrait pas poser de problèmes d'utiliser tcpd, par contre pour les services inclus dans inetd, ça va être plus délicat... -- .''`. Josselin Mouette/\./\ : :' : [EMAIL PROTECTED] `. `'[EMAIL PROTECTED] `- Debian GNU/Linux -- The power of freedom signature.asc Description: PGP signature
Re: Renforcer la securite
Le dim 04/08/2002 à 16:40, regis a écrit : update-rc.d -f portmap remove Je rebondis. À quoi sert portmap ? Je pensais que celui-ci servait pour le NFS mais comme Debian le lance dans /etc/rcS.d/ je n'ai pas osé l'enlever de peur qu'il serve à autre chose. Portmap sert a assigner des port RPC qui ne sont pas encore utilisé as des programmes qui en ont besoin. NFS l'utilise, je ne connais pas d'autre programme qui l'utilisent. Donc si tu n'utilise pas NFS désactive le c'est une faille sur le système Il n'y a pas que NFS qui s'en sert, mais aussi NIS, par exemple. Ensuite, NFS en soi n'est pas une faille système, je suis désolé. Par défaut, il n'exporte aucun répertoire. Que ceux qui critiquent NFS apportent une autre solution. -- Raphaël SurcouF [EMAIL PROTECTED]
Re: Renforcer la securite
Comment faire ? Normalement hosts.allow/hosts.deny doit fonctionner ! J'ai même essayé de ne laisser que ALL: ALL dans hosts.deny, je peux toujours y accéder, de n'importe quelle adresse IP ! Extrait de debianwolrd.org http://www.debianworld.org/Docs_securite_conseil2.php 3.Le fichier inetd.conf : Ce fichier gère la configuration du daemon inetd, qui offre divers services tels que ftp, telnet, samba, etc... Tous ces services, lorsqu'ils sont activés, permettent à des machines de votre réseau de les utiliser. Seuls les services déclarés dans le fichier /etc/inetd.conf répondront aux machines distantes. Donc, n'hésitez pas à mettre en commentaire (#) les lignes du fichier correspondant aux services dont vous n'avez pas l'utilité. Toutes les suppressions de services dans ce fichiers ne vous generont pas car elles n'affectent pas le sens sortant uniquement le sens entrant, c'est-à-dire les machines essayant de se connecter à votre système. Par contre je ne comprends pas pourquoi host.deny ne marche pas. A+
Re: Renforcer la securite
On Sunday, August 04, 2002 4:44 PM, Nicolas Massé wrote: Comment faire ? Normalement hosts.allow/hosts.deny doit fonctionner ! J'ai même essayé de ne laisser que ALL: ALL dans hosts.deny, je peux toujours y accéder, de n'importe quelle adresse IP ! Si tu veux vraiment faire comme cela, je te conseille d'utiliser xinetd. C'est très similaire à inetd mais les options de configuration sont bien plus complètes (très largement, même). Par exemple pour chaque service tu peux spécifier dans le champ only_from la liste d'IP qui peuvent y accéder. Tu peux même spécifier le masque de manière à couvrir toutes les IP de ton réseau. -- Nico
