Re: [debutant] Sécurité et micro$oft
On Wednesday 13 November 2002 19:46, you wrote: Il y a quelques semaines de ça, quelqu'un sur cette liste a fait passer un lien qui envoyait à une page où le second de m$ expliquait que ses produits n'étaient pas faits pour être sûrs. J'aimerais bien le retrouver C'est ici: http://www.portalinux.org/article.php?sid=890 -- (°- Bernard Lheureux Gestionnaire des MailingLists ML, TechML, LinuxML //\ http://www.bbsoft4.org/Mailinglists.htm ** MailTo:root;bbsoft4.org v_/_ http://www.bbsoft4.org/ * http://www.portalinux.org/ Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur http://www.mandrakestore.com;
Re: [debutant] Re: [debutant] Sécurité et micro$oft
Le Wed, 13 Nov 2002 21:21:22 +0100, Rosaire AMORE [EMAIL PROTECTED], souvenez-vous, vous écrivîtes : Malheureusement, non. Bien que celui-ci soit intéressant, celui dont je parle résonnait comme une espèce de confession dans laquelle le n°2 de m$ expliquait que leurs produits n'avaient pas été conçus pour être sûrs. Ca dit rien à personne? Ai-je révé? (cauchemardé?) Rosaire mailinglist wrote: Il y a quelques semaines de ça, quelqu'un sur cette liste a fait passer un lien qui envoyait à une page où le second de m$ expliquait que ses produits n'étaient pas faits pour être sûrs. J'aimerais bien le retrouver Ce ne serait pas celui-ci ? http://www.futura-sciences.com/news1100.php fanch Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur http://www.mandrakestore.com;
Re: [debutant] Re: [debutant] Sécurité et micro$oft
Le Mercredi 13 Novembre 2002 22:57, l'excellent(e) Fanch a tapoté : Ce ne serait pas celui-ci ? http://www.futura-sciences.com/news1100.php Si, c'est sans doute celui-ci -- Tuxedosam Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur http://www.mandrakestore.com;
Re: [debutant] Re: [debutant] Sécurité et micro$oft
En effet, ce fût celui-ci Merci Rosaire Fanch wrote: [...] Ce ne serait pas celui-ci ? http://www.futura-sciences.com/news1100.php fanch Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur http://www.mandrakestore.com; Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur http://www.mandrakestore.com;
[debutant] Sécurité sous linux Please reply
Bonjour, Bonsoir , J' aurais besoin de votre aide tres précieuse ! Je commence : 1) Lorsque je lance linux et que je dois mettre mon login j' ai ce message Winbond I O detection now testing port 3FO 370 250 4E 2E SMSC Super IO DETECTION testing port 2FO 370 Est ce que c est bastille et comment il teste les ports ? 2) Est ce que il y a un log de toustes les personnes qui ont éssayer de s introduire sur mon ordinateur ? 3)Lorsque je vais dans mandrake control center puis service , je remarque que bastille et iptables sont arrété alors qu ils sont activés au démarage !!!COmment je peux vaire pour être protéger tout le temps j ai éssayé de relancer bastille en faisant sbin/bastille-netfilter start ! Il se lance et s arrete automatiquement ! '4) il n y a pas de man de bastllle ? 5)Il y aurait un site qui ferait les man en francais Y en a marre d avoir 3 fman en francais et tout le reste en anglais ! 6 Ou dois je m adresser pour aider a traduire les man !!! Merci Beaucoup pour vos réponses Amicalement Franck -- Software is like sex better when it's free ! -- Software is like sex better when it's free !
[debutant] sécurité ... comment fermer les ports indésirables.
Bonjour. Comment fermer les ports 1024 et 6000 sur ma machine ? Le port 515 (printer) est il dangeureux? par example, quelqu'un peut il balancer l'impression de trucs pas bien (des images de pokémon en bmp) depuis l'exterieur ? un petit "xhost -" semble suffisant pour le 6000, mais qu'est ce que le 1024 ? (ou plotôt qu'est ce que kdm ?) quel est le meilleur moyen pour les fermer ? (par example le 6000) fermer le serveur X ? (pas cool :-/ ) ipchain ? tcpwrapper ? a+ -- Olivier Fleury, mdk 7.1 LTP Providence Misericorde
Re: [debutant] Sécurité + FTP
Le Lundi 20 Novembre 2000 09:27, vous avez ?rit : Le lun, 20 nov 2000, Serge Sortino a écrit à propos de "[debutant]": taper linux 1 dans lilo. puis virer le mot de passe root (etc/password ?), puis le recréer. - Sinon, je donnerai la réponse demain, je vois mon prof ce soir. - - A ce sujet, si ça marche vraiment, Linux est-il si sécurisé que ça, puisque - finalement n'importe qui peut entrer n'importe quoi ? C'est vrai que j'ai lu pas mal de chose sur la sécurité et linux et que pour certain , ça a l'air d'un jeu d'enfant :-( D'apres ce que j'ai lu(my english is not very good), il est tout de même fortement conseillé d'avoir un acces phisique à le machine... Au fait, on peut mettre un mot de passe dans lilo, qui ne sera demandé que lors d'un "linux 1". Exactement. Si vous n'avez pas peur de répondre à des questions barbares sur la sécurité lancez en root /usr/sbin/msec custom Il vous demandera si vous voulez un mot de passe pour le démarrage en linux 1 (souvent appelé linux single) parmi les questions. Si vous êtes totalement paranoïaque, vous pouvez toujours mettre un mot de passe au niveau du bios de votre machine... Personnellement, je rechercherai plutôt un moyen de surveiller les activités du réseau sur mon ordinateur, je veux dire que je voudrais connaître les accès à ma machine par samba, ftp et telnet, et je voudrais aussi que vous m'indiquiez comment créer un utilisateur uniquement ftp (je vais travailler à un projet, et tous les membres du groupe doivent pouvoir récupérer et envoyer des fichiers sur mon ordinateur, qui est allumé en permanence. Y-a-t-il un système plus sécurisé que le ftp ? Car je sais que certains utilisent des sniffeurs sur mon réseau pour intercepter les mots de passe qui circulent en clair... - - Merci aux connaisseurs ! - - Serge Je remercie moi aussi tous ceux qui voudront bien me répondre ! -- -- Manik Bhattacharjee Ecole des Mines de Nantes --
[debutant] Sécurité
Salut à tous, J'aimerai savoir si il existe une commance qui me permette de voir dans un terminal si quelqu'un tente de se connecter à mon ordi. Merci d'avance. A+ Xavier.
[debutant] Re: [debutant] Sécurité
"w" ou "who" pour avoir l'ensemble des utilisateurs logués Ouriel - Original Message - From: "Jacquelin Xavier" [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Monday, August 21, 2000 12:18 PM Subject: [debutant] Sécurité Salut à tous, J'aimerai savoir si il existe une commance qui me permette de voir dans un terminal si quelqu'un tente de se connecter à mon ordi. Merci d'avance. A+ Xavier.
[debutant] RE: [debutant] Sécurité
il y a déjà la commande finger, mais je suppose que c'est pas suffisant. je suis donc moi aussi preneur d'infos sur le sujet :)) Il y a 2 jours, alors que j'était connecté sur Internet, tout d'un coup mon disque s'est mis à tourner comme un malade et j'ai vu avec ps un process slocate appartenant a root... étrange :( -Message d'origine- De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED]]De la part de Jacquelin Xavier Envoyé : lundi 21 août 2000 12:19 À : [EMAIL PROTECTED] Objet : [debutant] Sécurité Salut à tous, J'aimerai savoir si il existe une commance qui me permette de voir dans un terminal si quelqu'un tente de se connecter à mon ordi. Merci d'avance. A+ Xavier.
Re: [debutant] RE: [debutant] Sécurité
Jérôme Fosse wrote: il y a déjà la commande finger, mais je suppose que c'est pas suffisant. je suis donc moi aussi preneur d'infos sur le sujet :)) Il y a 2 jours, alors que j'était connecté sur Internet, tout d'un coup mon disque s'est mis à tourner comme un malade et j'ai vu avec ps un process slocate appartenant a root... étrange :( Non, c'est une tache planifiee en cron qui permet de mettre a jour la database du locate... -- [ Bernard Lheureux Gestionnaire des MailingLists ML, TechML, LinuxML ] [ SysOp of BbS SoFtWaRe IV * http://bbsoft4.bmedia.be/Mailinglists.htm ] [ BBS, Mailer and FAX: +32-(0)71-400548 http://bbsoft4.bmedia.be ] [ MailTo:[EMAIL PROTECTED] * MailTo:[EMAIL PROTECTED] ]
[debutant] RE: [debutant] RE: [debutant] Sécurité
ok, merci pour l'info. je préfère ca :) -Message d'origine- De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED]]De la part de Bernard Lheureux Envoyé : lundi 21 août 2000 16:10 À : [EMAIL PROTECTED] Objet : Re: [debutant] RE: [debutant] Sécurité Jérôme Fosse wrote: il y a déjà la commande finger, mais je suppose que c'est pas suffisant. je suis donc moi aussi preneur d'infos sur le sujet :)) Il y a 2 jours, alors que j'était connecté sur Internet, tout d'un coup mon disque s'est mis à tourner comme un malade et j'ai vu avec ps un process slocate appartenant a root... étrange :( Non, c'est une tache planifiee en cron qui permet de mettre a jour la database du locate... -- [ Bernard Lheureux Gestionnaire des MailingLists ML, TechML, LinuxML ] [ SysOp of BbS SoFtWaRe IV * http://bbsoft4.bmedia.be/Mailinglists.htm ] [ BBS, Mailer and FAX: +32-(0)71-400548 http://bbsoft4.bmedia.be ] [ MailTo:[EMAIL PROTECTED] * MailTo:[EMAIL PROTECTED] ]
Re: [debutant] sécurité
Le jeu, 10 aoû 2000, vous avez écrit : J'ai mis en place un peu de sécurité avec IPCHAINS sur mon ptit serveur de test. j'ai mk7.1 et j'ai fermer la majorité des ports ouvert sauf ceux que je me sert. Mise à part www.grc.com, y a t-il un moyen de vérifier la securité de ma machine. Sur que si j'essai d'entrer par un poste (autre que mon réseau) je ne peu pas MAIS je ne suis pas un bon "sniffeux" alors!! Si l'un d'entre vous veux me contacter pour faire un "tour" sur ma machine et me dire ce qui n'est pas sécure ce serait kool. (...ߥe ) ( ) (_ ®!¢k¥ßð¥ -- Bonjour, le logiciel "nmap" donne beaucoup d'informations. Amicalement. Jean-Bernard JACQUET [EMAIL PROTECTED]
Re: [debutant] sécurité
Le Wed, Aug 09, 2000 at 11:23:15PM -0400 , RickyBoy a écrit : Mise à part www.grc.com, y a t-il un moyen de vérifier la securité de ma machine. Essayez le logiciel Nessus. Pour l'adresse je ne suis pas sur que ce soit www.nessus.org , par contre en faisant un tour sur www.tuxfinder.com vous devriez avoir l'adresse. Il faut télécharger le client et le serveur et il vous donnera un rapport trés détaillé des failles de votre système. -- Laurent Rathle
[debutant] sécurité
J'ai mis en place un peu de sécurité avec IPCHAINS sur mon ptit serveur de test. j'ai mk7.1 et j'ai fermer la majorité des ports ouvert sauf ceux que je me sert. Mise à part www.grc.com, y a t-il un moyen de vérifier la securité de ma machine. Sur que si j'essai d'entrer par un poste (autre que mon réseau) je ne peu pas MAIS je ne suis pas un bon "sniffeux" alors!! Si l'un d'entre vous veux me contacter pour faire un "tour" sur ma machine et me dire ce qui n'est pas sécure ce serait kool. (...ߥe ) ( ) (_ ®!¢k¥ßð¥
Re: [debutant] Sécurité (comment desactiver un service reseau)
Tout ça est du Linux "de base" donc valable pour toute installation. Cependant pour faire de l'administration de réseau de façon habituelle il vaut mieux effectivement glaner quelques outils (Nessus, TripWire, xnmap, etc.). On les trouve souvent dans des magazines ou par téléchargement. Je n'ai pas les adresses en tête pour l'instant mais en fouillant sur un bon site linuxien avec des mots-clés du genre "security", "networking", etc. on les retrouve facilement. Quelques adresses utiles : http://www.fr.nessus.org/ http://www.tripwiresecurity.com/ http://www.insecure.org/nmap/index.html
Re: [debutant] Sécurité
Salut Frédéric, Il existe des évènenements qui indiquent le débuts des connexion. Intéressant ca :) !! Je m'essaierai à ca dès que j'aurai une machine plus fiable, C-à-D. pas longtemps, parce que ma vieille grand-mère de bécane devient chaque jour plus grabataire ;) . En pratique, je suppose qu'il faut scripter pour reconnaître une chaîne de caractères dans les trames capturées, et renvoyer à partir de là vers un fichier de stockage, et/ou émettre une alerte si la connexion est illicite ... Ca ne doit pas être insurmontable, j'essaierai en Bash dès que possible. Non car lors de la constitution d'un paquet de données à envoyer sur le réseau, on descend dans la pile et réseau, on ne monte pas [...] - on serait obligé pour tenir compte de ce qu'il y a en dessous d'implementer dans chaque couche, toutes les possibilités de combinaison de ce qu'on pourrait trouver dessous (mission impossible). [...] Effectivement. Je n'y avais pas pensé, j'ai encore à apprendre. Merci, ca met pas mal de choses en lumière sur les transferts réseau ! Côté client, tu peux configurer IPCHAINS pour filtrer le traffic (voir site LEA de serge T) mais un conseil général pour tout le monde : avant de vouloir vous lancer dans du filtrage de traffic, il faut avoir des bonnes connaissance des protocoles IP, TCP, UDP et ICMP parce que sinon, vous risquez de mettre en oeuvre des regles incompletes voire inefficaces sans compter sur le debug qui pourrait etre difficile. Je lis sur TCP / IP depuis presque 2 ans, et j'ai pu approfondir toute l'année dernière, je vais finir par me débrouiller ... En revanche si tu (ou qqun dans la liste ;) as (avez) des sources d'information (URLs ? ;) sur UDP ICMP, ca m'intéresse beaucoup, puisqu'un système Linux permet apparemment d'agir puissamment dessus alors que sous Win on a les mains liées dans le dos pour ca ! Je te remercie pour toutes tes précisions, Guillaume [EMAIL PROTECTED]
Re: [debutant] Sécurité
- Original Message - From: "Guillaume DELANOY" [EMAIL PROTECTED] [...] Je lis sur TCP / IP depuis presque 2 ans, et j'ai pu approfondir toute l'année dernière, je vais finir par me débrouiller ... En revanche si tu (ou qqun dans la liste ;) as (avez) des sources d'information (URLs ? ;) sur UDP ICMP, ca m'intéresse beaucoup, puisqu'un système Linux permet apparemment d'agir puissamment dessus alors que sous Win on a les mains liées dans le dos pour ca ! Petit cours TCP, UDP, ICMP et IP of course : http://www.commentcamarche.net
Re: [debutant] Sécurité
En pratique, je suppose qu'il faut scripter pour reconnaître une chaîne de caractères dans les trames capturées, et renvoyer à partir de là vers un fichier de stockage, et/ou émettre une alerte si la connexion est illicite ... Ca ne doit pas être insurmontable, j'essaierai en Bash dès que possible. Les trames capturées, ou le fichier log ? Je ne suis pas certain qu'on puisse capturer des trames depuis un fichier bash. En revanche, pour traiter des fichiers log, le bash est plutôt mal adapté. Même si tu n'as qu'UN fichier log à traiter, ça mérite à mon avis que tu te mettes au PERL.
Re: [debutant] Sécurité
ET à bien utilis[er] les fichiers /etc/hosts.allow et /etc/hosts.deny A ma connaissance, ce sont des fichiers de conf de TCPWRAPPER Ce sont des fichiers utilisés par TCP/IP. Ils sont utilisés aussi sur des systèmes ne possédant pas TCPWRAPPER,
Re: [debutant] Sécurité
- Original Message - From: [EMAIL PROTECTED] En pratique, je suppose qu'il faut scripter pour reconnaître une chaîne de caractères dans les trames capturées, et renvoyer à partir de là vers un fichier de stockage, et/ou émettre une alerte si la connexion est illicite ... Ca ne doit pas être insurmontable, j'essaierai en Bash dès que possible. Les trames capturées, ou le fichier log ? Je ne suis pas certain qu'on puisse capturer des trames depuis un fichier bash. En lancant TCPDUMP par exemple avec des parametres pour capturer une session donnée (à partir du tip filé par serge sur /etc/hosts.allow) En revanche, pour traiter des fichiers log, le bash est plutôt mal adapté. Même si tu n'as qu'UN fichier log à traiter, ça mérite à mon avis que tu te mettes au PERL. PERL est plus puissant que BASH pour le traitement de chaine, mais n est pas si evident a apprendre... -- Frederic PLE email: [EMAIL PROTECTED] Yahoo! Messenger: gvfred -- Get free certificates and use digital signature for emails : http://www.thawte.com/certs/personal/contents.html Make money to surf : https://www.alladvantage.com/home.asp?refid=IIU-338 http://www.mediabarre.com/cgi-bin/mba.cgi?004761
Re: [debutant] Sécurité
- Original Message - From: "Guillaume DELANOY" [EMAIL PROTECTED] Merci à tous ceux qui m'ont répondu sur ce sujet, je m'instruis beaucoup ici :)) ! Il me reste quand même 2 ou 3 doutes ... je m'explique : FTP comme TELNET comme POP3 et d'autres véhiculent les login mot de passe en clair sur le reseau. En gros, c est facile en "ecoutant" de facon illicite le traffic reseau de recuperer ces infos la Oui OK, je l'ai déjà fait avec l'analyseur de trames de NT Server (eh oui j'ai honte, mais il faut bien commencer quelque part ;) ... mais bon il vaut mieux connaître l'heure exacte du login pour écouter à ce moment-là, sinon y' a à boire et à manger pour des semaines en interceptant les paquets sur + de 2 min. ! Il existe des évènenements qui indiquent le débuts des connexion. Tu fais une recherche dessus et tu trouve tout de suite : exemple : C = adresse IP du client, S celle du serveur. C fait un telnet sur S (port TCP 23) Il suffit de reperer la sequence : source dest Flags C:quelconque S:23 SYN S:23 C:quelconque SYN ACK C:quelconque S:23 ACK En effet cette sequence marche l'établissement d une session TCP (TELNET dans ce cas) et généralement les LOGIN/PASSWORD suivent rapidement. TCP/IP¨est au dessus d'Ethernet (puisqu on parle le MAC address) et donc les paquets TCP/IP qui sont encapsulés dans des trames ETHERNET n'ont aucune info sur les MAC address. Ah bon ? je pensais que les en-têtes des paquets IP mentionnaient au moins la MAC-Adress de l'expéditeur, qu'on aurait pu retrouver en filtrant/interprétrant les en-têtes avec un script, ou mieux en recompilant. Je pensais aussi que les couches OSI tenaient respectivement compte des précédentes ( couche 2 pour la MAC Adress, prise en compte dans les couches 3 et 4 pour TCP ) ... bon ben C tout, je suis ben déçu alors . Non car lors de la constitution d'un paquet de données à envoyer sur le réseau, on descend dans la pile et réseau, on ne monte pas Ca veut dire, en schematisant, mon appli prepare ses donnees auxquelles on ajoute un header. Ce paquet est envoyé a la couche TCP par exemple qui rajoute le HEADER avec port source et port dest. Lui-meme est envoyé à la couche IP qui ajoute les adresses sources et destination. Lui meme est envoyé a la couche ETHERNET qui rajoute les MAC sources et dest avant d envoyer le paquet sur le réseau. Comme on le voit, heureusement que généralement un protocole ne s'occupe pas de ce qu'il a en dessous : - parce que le driver de la carte reseau (ethernet ou autre) meme la plus exotique (genre ATM) est interoperable avec les couche au dessus (pas de stack IP spécifique) - on serait obligé pour tenir compte de ce qu'il y a en dessous d'implementer dans chaque couche, toutes les possibilités de combinaison de ce qu'on pourrait trouver dessous (mission impossible). [...] En tout cas moi ce que j'en dis pour un PC "poste de travail" a la maison c'est de bloquer TOUT services (telnetd, ftpd, fingerd, serveur pop/IMAP) on en a pas besoin pour naviguer sur le net. Si je choisis de bloquer les ports 21, 23, 25 et 110 par exemple, ca risque de me poser des problèmes ensuite avec les applis *clientes* qui utilisent ces ports (messagerie, client FTP, telnet ...), non ? Et si je désactive les démons (services) correspondants, ca pose des problèmes aussi pour les mêmes applis ? Les Well-Known Ports (ports bien connus), listés dans le fichier /etc/services, sont les ports utilisés par les serveurs. Pourquoi ? Tout simplement parce que, si j'installe un serveur web sur le port 90 au lieu de 80, les gens qui connaitront mon nom de domaine mais par defaut ne trouveront pas le serveur web.. pas top Côté client, rien ne m'oblige à me connecter sur un port donné d un serveur depuis le meme port de ma machine !!! J'ajouterai HEUREUSEMENT pas car si j'installe un serveur sur mon linux (genre TELNETD sur le port 23) et que je veuille utiliser le client pour me connecter a un autre serveur (faire un TELNET depuis mon serveur vers un autre), le système ne pourrait créer la connexion car le port serait déjà occupé( le port 23 serait deja occupé par TELNETD). Dans les fait, il est impossible pour quelqu un d'autre que root d'utiliser sur une machine (binder) des ports 1024. Donc quand j'utilise un client, le port du coté client est 1024 et différent pour 2 connexions consécutives. Donc pas de soucis a bloquer ces ports la ! ET à bien utilis[er] les fichiers /etc/hosts.allow et /etc/hosts.deny Si on utilise host.allow, on a déjà beaucoup moins besoin de hosts.deny ;-) Mon truc, C T d'interdire tout dans hosts.deny, puis d'autoriser seulement en fonction des besoins dans hosts.allow ... bien sûr s'il y a une meilleur méthode, ca m'intéresse, mais je m'étais dit qu'appliquer strictement la démarche inverse des gens de Seattle ;), c'était forcément mieux pour la sécurité, qu'en pensez-vous ?? Cette démarche est LA MEILLEURE approche en terme de
[debutant] Sécurité - Scanner de ports !
Alors suite à mes déboires sur le réseau, j'ai installé Nmap2.53 et voilà le rapport du scanner : PortState Service 25/tcp opensmtp 80/tcp openhttp 98/tcp openlinuxconf 111/tcp opensunrpc 113/tcp openauth 515/tcp openprinter 981/tcp openunknown 1024/tcpopenkdm 1025/tcpopenlisten 6000/tcpopenX11 ;-) Je prends des risques en vous envoyant ce rapport, mais dans l'état actuel des choses, ça ne va plus changer grand-chose J'ai donc, suivant vos conseils, désactivé les "telnetd", "ftpd" et "pop3d" de "inetd.conf" ! Mais au regard de ce rapport, est-ce que ma config est suffisamment "sécurisée" ? Merci !! -- Philippe Guilbert http://mausclick.citeweb.net
Re: [debutant] Sécurité
On m'a dit que FTP était le moins sécurisé des protocoles TCP / IP, mais si quelqu'un pouvait m'expliquer pourquoi ce serait top ;) ! En fait pour deux raisons je pense : il existe enormement de failles de securite dans les demons ftp (buffer overflow.). d'autres parts, le ftp n'est pas un protocole crypte (comme la plupart des protocoles). Pour que tu comprennes les problemes que represente l'utilisation d'un service reseau non crypte, je te conseille l'utilisation d'un logiciel tel que Hunt sur ton reseau local en mode promiscuous. Ca permet notamment de piquer des sessions sans passer par une authentification. Ca te fera comprendre egalement pourquoi il est dangereux de se connecter en root a distance en utilisant des services tels que telnet ou ftp. @+
Re: [debutant] Sécurité
- Original Message - From: "LUCAS Christophe" [EMAIL PROTECTED] [...] ET à bien utilisé les fichiers /etc/hosts.allow et /etc/hosts.deny A ma connaissance, ce sont des fichiers de conf de TCPWRAPPER -- Frederic PLE email: [EMAIL PROTECTED] Yahoo! Messenger: gvfred -- Get free certificates and use digital signature for emails : http://www.thawte.com/certs/personal/contents.html Make money to surf : https://www.alladvantage.com/home.asp?refid=IIU-338 http://www.mediabarre.com/cgi-bin/mba.cgi?004761
Re: [debutant] Sécurité - Traces ?
Le mieux est que tu désactives tous les services ftp dans un premier temps. Par exemple en commentant (par un # en colonne 1) les lignes ftp que tu trouveras dans /etc/services ainsi que dans /etc/inetd.conf. Dès le prochain reboot, tu seras un peu plus en sécurité. Il existe un moyen d'interdire les telnet entrants tout en permettant les telnet sortants (le login et le reste ne se font pas sur les mêmes ports; il suffit donc de commenter le port de login), mais commençons simple.
Re: [debutant] Sécurité
- Original Message - From: "Guillaume DELANOY" [EMAIL PROTECTED] Je suis vos conversations *très* enrichissantes depuis le début, et je voudrais y ajouter quelques questions : Le mieux est que tu désactives tous les services ftp dans un premier temps. Par exemple en commentant (par un # en colonne 1) les lignes ftp que tu trouveras dans /etc/services ainsi que dans /etc/inetd.conf. On m'a dit que FTP était le moins sécurisé des protocoles TCP / IP, mais si quelqu'un pouvait m'expliquer pourquoi ce serait top ;) ! FTP comme TELNET comme POP3 et d'autres véhiculent les login mot de passe en clair sur le reseau. En gros, c est facile en "ecoutant" de facon illicite le traffic reseau de recuperer ces infos la Il existe un moyen d'interdire les telnet entrants tout en permettant les telnet sortants (le login et le reste ne se font pas sur les mêmes ports; il suffit donc de commenter le port de login), mais commençons simple. Si tu n'as pas besoin de te connecter sur ton linux depuis une autre machine, autant desactiver telnet en commentant avec un # la ligne de /etc/inetd.conf (et pas d autres fichiers) concernant TELNETD. Ensuit il faut faire un kill -HUP sur le PID (process ID) du demon inetd (obtenu avec la commande ps ax) Cette manipulation n'empeche pas d'utiliser un client telnet pour te connecter depuis ton linux sur une autre machine. Eeuhh j'avais une idée plus complexe, mais je ne sais pas si c'est possible : Y a-t-il moyen de paramétrer hosts.allow hosts.deny par exemple, pour autoriser une entrée telnet, FTP ou autre en fonction de la MAC-Adress de la machine distante ? Si ceci est possible, on pourrait limiter l'accès à une machine (le portable du sysop par ex. ) en excluant toutes les autres sur la base de sa carte réseau. Cela est-il possible ? Si oui, comment ? TELNET FTP et les autres protocoles du genre sont des protocoles TCP/IP. TCP/IP¨est au dessus d'Ethernet (puisqu on parle le MAC address) et donc les paquets TCP/IP qui sont encapsulés dans des trames ETHERNET n'ont aucune info sur les MAC address. J'ajoute que la MAC address n'existe que sur ETHERNET donc si t as un client sur un reseau TOKEN-RING = pas de MAC ADDRESS. Enfin, et de toutes facons sauf si les clients sont dans le meme sous reseau que ta propre machine, quand les trames ethernet arrive sur ton PC par ta carte ethernet, la trame ethernet contient comme destination address l'address MAC de ta carte ethernet, et comme source address, l'address MAC que la gateway d'acces à ton sous réseau (un routeur par exemple) puisque le paquet IP arrive directement de la gateway. Donc pour conclure, le filtrage des acces TELNET ou FTP ou tout autres services TCP/IP ne peut etre basé que sur des adresses IP, des ports TCP/UDP et eventuellement on peut filtrer les acces a des utilisateurs (voir PAM). j'encourage les gens qui voudraient avoir des détails sur tout cela, de commencer par jeter un coup d oeil (voire un peu plus) a la theorie des reseaux TCP/IP, puis aux man et HOW-TO de PAM (/etc/security/access.conf), INETD.CONF , IPCHAINS, TCPWRAPPER (et j en oublie certainement)... Voir aussi le site LEA de serge SCHMILBLIK ;) qui ressense beaucoup de tips Je sais que bouffer des man des HOW-TO et des RFC, c est pas tres excitant mais ca contient des informations qu'on retrouve développées dans tous les bouquins qui sont assez chers en librairie. -- Frederic PLE email: [EMAIL PROTECTED] Yahoo! Messenger: gvfred -- Get free certificates and use digital signature for emails : http://www.thawte.com/certs/personal/contents.html Make money to surf : https://www.alladvantage.com/home.asp?refid=IIU-338 http://www.mediabarre.com/cgi-bin/mba.cgi?004761
[debutant] Sécurité !
Ouh la, alors les enfants, j'ai besoin d'aide ! J'avais installé KXIcq, que je trouve super, le meilleur clone ICQ que j'ai pu tester jusqu'à présent, et je m'étais connecté comme "root" sur internet pour télécharger un logiciel afin de l'installer ensuite sur ma machine ! Et j'ai été piraté, un type interceptait mes messages ICQ adressés à une copine, interceptait mes emails (et m'en renvoyait le contenu par ICQ) et m'a donné même mon mot de passe "root" ! Aaahhh ! Alors là j'ai été non seulement surpris et très impressionné, mais surtout je reste très inquiet quant à la sécurité de mon système ! Ouïe ! Quels conseils de configuration, d'utilisation (ne pas se connecter en "root", oui, je sais, snif) et d'installation logiciels me donneriez-vous ? Y a-t-il moyen de retrouver les traces de mon hacker-cracker (un "log" quelconque) ? AU SECOURS ! Philippe Guilbert --- -- Cordialement, Philippe Guilbert Professeur agrégé d'allemand http://mausclick.citeweb.net http://www.egroups.fr/group/allemand_tice
Re: [debutant] Sécurité !
Philippe Guilbert wrote: Ouh la, alors les enfants, j'ai besoin d'aide ! J'avais installé KXIcq, que je trouve super, le meilleur clone ICQ que j'ai pu tester jusqu'à présent, et je m'étais connecté comme "root" sur internet pour télécharger un logiciel afin de l'installer ensuite sur ma machine ! Premiere erreur Et j'ai été piraté, un type interceptait mes messages ICQ adressés à une copine, interceptait mes emails (et m'en renvoyait le contenu par ICQ) et m'a donné même mon mot de passe "root" ! Aaahhh ! Normal Alors là j'ai été non seulement surpris et très impressionné, mais surtout je reste très inquiet quant à la sécurité de mon système ! Ouïe ! C'est normal aussi Quels conseils de configuration, d'utilisation (ne pas se connecter en "root", oui, je sais, snif) et d'installation logiciels me donneriez-vous ? Deja NE JAMAIS SE CONNECTER EN ROOT. On le dit on le repete et on le rabache et apres on se demande ce qu'il se passe. Toujours se logger en utilisateur, c'est la premiere barriere de securité de linux, toutes les autres dependent de celle ci. Si vous la laissez beante, alors les autres ne servent pas. Autrement il faut savoir qu'un machine connectée a internet possede beaucoup de ports ouverts. C'est l'utilité d'un firewall. Je ne saurais que conseiller le site de serge, http://lealinux.free.fr qui explique beaucoup de choses a ce propos et qui m'en ont beaucoup appris, meme si j'ai pas tout le temps tout compris, mais je m'y penche dessus, promis :) Y a-t-il moyen de retrouver les traces de mon hacker-cracker (un "log" quelconque) ? Pourquoi tu veux lui faire quoi ? AU SECOURS ! Philippe Guilbert --- -- Cordialement, Philippe Guilbert Professeur agrégé d'allemand http://mausclick.citeweb.net http://www.egroups.fr/group/allemand_tice -- David
Re: [debutant] Sécurité !
Deja NE JAMAIS SE CONNECTER EN ROOT. On le dit on le repete et on le rabache et apres on se demande ce qu'il se passe. Toujours se logger en utilisateur, c'est la premiere barriere de securité de linux, toutes les autres dependent de celle ci. Si vous la laissez beante, alors les autres ne servent pas. MAIS LE PIRE C'EST QUE JE LE SAIS, mais je voulais bêtement gagner du temps pour installer le logiciel ! Pf ! Y a-t-il moyen de retrouver les traces de mon hacker-cracker (un "log" quelconque) ? Pourquoi tu veux lui faire quoi ? ;-) je veux lui demander comment il a fait !! ;-)) Merci pour ton adresse web, j'y vais de ce pas ! Philippe
Re: [debutant] Sécurité !
Philippe Guilbert wrote: Deja NE JAMAIS SE CONNECTER EN ROOT. On le dit on le repete et on le rabache et apres on se demande ce qu'il se passe. Toujours se logger en utilisateur, c'est la premiere barriere de securité de linux, toutes les autres dependent de celle ci. Si vous la laissez beante, alors les autres ne servent pas. MAIS LE PIRE C'EST QUE JE LE SAIS, mais je voulais bêtement gagner du temps pour installer le logiciel ! Pf ! Plutot que de te logger sous root, en tant qu'utlisateur, avec un petit "su root" en fenetre console, tu as exactement les memes droits qu'en etant loggé sous root, avec le risque en moins que ICQ soit avec les droits de root aussi. Y a-t-il moyen de retrouver les traces de mon hacker-cracker (un "log" quelconque) ? Pourquoi tu veux lui faire quoi ? ;-) je veux lui demander comment il a fait !! ;-)) Ils le disent jamais. Faut essayer de trouver sur le net ce genre d'infos, sur les sites de warez. Mais bon les 5 fenetres netscape qui s'ouvrennt quand t'en ferment une c'est tres vite lourd. Merci pour ton adresse web, j'y vais de ce pas ! Philippe -- David
Re: [debutant] Sécurité !
Y a-t-il moyen de retrouver les traces de mon hacker-cracker (un "log" quelconque) ? De lui, c'est peu probable. De la machine depuis laquelle il t'a piraté, et qui était certainement elle-même une machine piratée, ce serait peut-être possible par les fichiers de /var s'il n'avait pas fait le ménage derrière lui :-( Essaie à tout hasard la commande "last". Mais il ne faut peut-être pas trop rêver de ce côté-là... Et maintenant, _réinstalle tout ton Mandrake_ avec un mot de passe différent pour root et le niveau de sécurité le plus élevé. Parce que je suppose que s'il t'a trouvé sympathique, il a déjà mis en place les backdoors pour revenir te voir quand il en aura envie... Une fois connu le mot de passe de root, il ne faut guère plus d'une seconde pour effectuer par script la totalité de la manip : entrer, installer les back doors, effacer ses traces, et sortir :-( La seule solution à ma connaissance est d'avoir en tâche de fond une procédure qui copie les logs en permanence vers des destinations write-only. Là, le pirate ne peut plus rien effacer. Un vieux 286 de récupération sous DOS peut faire une très bonne unité write-only si on le programme pour ça (pour lecture des infos sur le port série, par exemple). Et je ne connais pas de pirate assez futé pour venir pirater un DOS en y entrant le port série :-))) (mais un Linux, oui).
Re: [debutant] Sécurité !
Deux solutions amusantes, mais mutuellement exclusives : 1) mettre root en "no login" : impossible pour qui que ce soit de se logger directement sur root, il faudra d'abord pirater un user et faire "su" depuis cet user. Ca double la difficulté. 2) Associer root à un user qui lui-même a comme shell déclaré dans /etc/passwd... /bin/false! Pendant ce temps, le vrai user 0 de la machine ne s'appelle pas root, mais par exemple Tart3mp10n. On peut raffiner en écrivant carrément un faux shell, pour le faux root; un qui ressemble au vrai sauf que le hacker est enfermé dans un environnement virtuel bidon, qui attend toujours au moins 5 secondes avant de répondre à chacune de ses commandes. Ca use remarquablement bien leurs nerfs. Je faisais répondre au mien une fois sur deux, après attente de 10 secondes : "Process table full. Unable to fork". J'ai trouvé un jour la trace d'un hacker qui a insisté à la porte quatre heures d'affilée avant de baisser les bras au petit matin. Tant qu'on les occupe comme ça, ils ne font pas trop de bêtises :-)
Re: [debutant] Sécurité !
Plutot que de te logger sous root, en tant qu'utlisateur, avec un petit "su root" en fenetre console, tu as exactement les memes droits qu'en etant loggé sous root, avec le risque en moins que ICQ soit avec les droits de root aussi. Et dans le menu configuration on trouve "gestionnaire de fichiers super utilisateur" (ou un truc du genre) qui t'ouvre kfm en root après t'avoir demandé le mot de passe. Un clic droit sur le fichier téléchargé et selon le cas tu accède direct à Kpackage pour les .RPM ou Karchive pour les .tar.gz et l'install se fait en qq clics. Salutations Daniel Cartron Trésorerie du Sénat Tél : 01 42 34 26 59 Fax : 01 42 34 26 27
Re: [debutant] Sécurité !
1) mettre root en "no login" : impossible pour qui que ce soit de se logger directement sur root, il faudra d'abord pirater un user et faire "su" depuis cet user. Ca double la difficulté. Oui, mais tu sais, je ne suis pas pour rien sur la liste "débutant", tu me donnes un cours en deux minutes là ? On fait comment pour mettre le "root" en "nologin" ? Hm !! 2) Associer root à un user qui lui-même a comme shell déclaré dans /etc/passwd... /bin/false! Pendant ce temps, le vrai user 0 de la machine ne s'appelle pas root, mais par exemple Tart3mp10n. Hm ! Aaah d'accord ;-)), et en plus simple ça donne quoi par exemple ? On peut raffiner en écrivant carrément un faux shell, pour le faux root; Ouais, J'ADORERAIS savoir faire ça ! Ecoute si tu veux un stagiaire "distant", une sorte de bleu à méthodes distantes !"RMI" ;-), alors je suis preneur, tu seras mon maître de stage, moi tu as un sacré pot, je ne demande qu'à apprendre !! Alors coool ! un qui ressemble au vrai sauf que le hacker est enfermé dans un environnement virtuel bidon, qui attend toujours au moins 5 secondes avant de répondre à chacune de ses commandes. Ca use remarquablement bien leurs nerfs. ;-))) Toi au moins tu t'amuses bien Je faisais répondre au mien une fois sur deux, après attente de 10 secondes : "Process table full. Unable to fork". J'ai trouvé un jour la trace d'un hacker qui a insisté à la porte quatre heures d'affilée avant de baisser les bras au petit matin. Tant qu'on les occupe comme ça, ils ne font pas trop de bêtises :-) Oui, le coup du bac à sable ! ;-) T'en as d'autres anecdotes de ce genre ? j'adore ! Philippe
Re: [debutant] Sécurité !
Ouh la, alors les enfants, j'ai besoin d'aide ! J'avais installé KXIcq, que je trouve super, le meilleur clone ICQ que j'ai pu tester jusqu'à présent, et je m'étais connecté comme "root" sur internet pour télécharger un logiciel afin de l'installer ensuite sur ma machine ! Et j'ai été piraté, un type interceptait mes messages ICQ adressés à une copine, interceptait mes emails (et m'en renvoyait le contenu par ICQ) et m'a donné même mon mot de passe "root" ! Aaahhh ! Alors là j'ai été non seulement surpris et très impressionné, mais surtout je reste très inquiet quant à la sécurité de mon système ! Ouïe ! Quels conseils de configuration, d'utilisation (ne pas se connecter en "root", oui, je sais, snif) et d'installation logiciels me donneriez-vous ? Y a-t-il moyen de retrouver les traces de mon hacker-cracker (un "log" quelconque) ? AU SECOURS ! Salut, Je te conseille de desinstaller tout les services reseaux qui ne sont d'aucune utilite pour toi, en particulier INN (il y a eu recemment une faille decouverte dessus). Pour ce que tu souhaites conserver et que tu utilises sur ton reseau local (demon ftp.), configure les de maniere a ce qu'ils ne soient pas accessibles depuis l'exterieur de ton reseau. Je te conseille egalement de virer aussi les trucs du genre ftp anonyme. Je te conseille egalement d'installer des outils tels que tripwire ou snort. Si tu veux tester la securite de ton installation, rien de tel que des outils tels que Nessus. @+
Re: [debutant] Sécurité !
Juste une question : tu le trouves où, KXIcq ? Je suis sous W$ pour utiliser icq. Je sais que y a un clone d'icq pour gnome, mais j'aimes pas gnome (chacun ces goûts ;)) Alors j'ai trouvé ce clone sur TUCOWS, je te livre la page d'index Linux de Tucows, tu n'as qu'à taper ensuite "kxicq" dans le champ de texte pour la recherche de la page dédiée ! http://sai.linux.tucows.com/index.html (attention c'est le site sud-africain, parce que moi je suis basé à La Réunion !) Je t'avoue que personnellement je suis un peu sceptique face à KDE, que je trouve lent, mal fini, et finalement peu pratique ! A bientôt ! Philippe
Re: [debutant] Sécurité !
Je te conseille de desinstaller tout les services reseaux qui ne sont d'aucune utilite pour toi, en particulier INN (il y a eu recemment une faille decouverte dessus). OK et je fais comment alors ? Pour ce que tu souhaites conserver et que tu utilises sur ton reseau local (demon ftp.), configure les de maniere a ce qu'ils ne soient pas accessibles depuis l'exterieur de ton reseau. Je te conseille egalement de virer aussi les trucs du genre ftp anonyme. Même question que prédécemment ! ;-)) Je te conseille egalement d'installer des outils tels que tripwire ou snort. Si tu veux tester la securite de ton installation, rien de tel que des outils tels que Nessus. Tu peux me dire où je peux le trouver Merci ! Philippe
Re: [debutant] Sécurité !
[EMAIL PROTECTED] écrivit : Y a-t-il moyen de retrouver les traces de mon hacker-cracker (un "log" quelconque) ? De lui, c'est peu probable. De la machine depuis laquelle il t'a piraté, et qui était certainement elle-même une machine piratée, ce serait peut-être possible par les fichiers de /var s'il n'avait pas fait le ménage derrière lui :-( Essaie à tout hasard la commande "last". Mais il ne faut peut-être pas trop rêver de ce côté-là... Et maintenant, _réinstalle tout ton Mandrake_ Oui. avec un mot de passe différent pour root Oui. et le niveau de sécurité le plus élevé. ^^^ [...] Non. La machine sera quasi inutilisable. Ce niveau est réservé aux serveurs et aux paranoïaques (d'où son nom). Le niveau 3 (normal) est largement suffisant, pour peu que les rêgles élémentaires de sécurité soient respectées. -- MandrakeSofthttp://www.mandrakesoft.com PARIS, FRANCE --David
[debutant] Sécurité - Traces ?
Merci à tous ceux qui m'ont répondu ! Donc, j'ai suivi vos conseils pour essayer de savoir quand l'intrus a pénétré dans ma machine : Avec la commande "last" : j'ai toujours des log avec "root :0" ou bien "user:0", etc. et j'en ai une seule ligne isolée avec "root : tty1" ! Est-ce que ça peut être ça ? C'est quoi finalement "tty1" ? En lisant le fichier /var/log/messages, comme on me l'a conseillé, je trouve en général : jui 21 08:21:26 localhost PAM_pwdb[660]: (kde) session opened for user root by (uid=0) MAIS le même jour que la ligne dépistée avec "last" : Jul 21 01:28:01 localhost PAM_pwdb[646]: (login) session opened for user root by LOGIN(uid=0) Et cette dernière ligne n'apparaît qu'une seule fois, elle aussi, sur 10 jours ! Est-ce que c'est un indice ? Parce que j'avoue que je ne lis pas très bien tout ce qui m'est indiqué !! ;-) Alors voilà, et pas de trace de "telnetd" avec une adresse IP quelconque, rien, tout est en "localhost"... Merci d'avance Philippe