Re: [debutant] Re: x11 et port .
Le sam 07/06/2003 à 20:03, [EMAIL PROTECTED] a écrit : > Le Samedi 7 Juin 2003 19:35, André Salaün a écrit : > > Le sam 07/06/2003 à 18:45, [EMAIL PROTECTED] a écrit : > > merci pour la precision de tes explications. > > que pense tu de ca ? > > Fermer le port 6000 (service X11) > Il suffit de modifier le fichier /usr/X11R6/bin/startx en modifiant la ligne : > serverargs="" > En rajoutant l'option "-nolisten tcp" comme ceci : > serverargs="-nolisten tcp" > Ça stoppera l'écoute en démarrant par "startx" -- A. Salaün signature.asc Description: PGP signature
Re: [debutant] Re: x11 et port .
Le Samedi 7 Juin 2003 19:35, André Salaün a écrit : > Le sam 07/06/2003 à 18:45, [EMAIL PROTECTED] a écrit : merci pour la precision de tes explications. que pense tu de ca ? Fermer le port 6000 (service X11) Il suffit de modifier le fichier /usr/X11R6/bin/startx en modifiant la ligne : serverargs="" En rajoutant l'option "-nolisten tcp" comme ceci : serverargs="-nolisten tcp" bon pour le firewall et penggy j'avais regarde il y a pas longtemps et personne n'a trouvé de solution ;( je vais reposer la question . Patrick . > ./.. > > > > Dernière chose tu fais la commande: > > > xauth list > > > Là tu devrais voir apparaître la liste des machines autorisée suivie du > > > magic cookie et de son code de cryptage alpha numérique. En l'occurence > > > > > > : ta propre machine si tu es déconnecté plus ton fournisseur d'accès si > > > > > > tu es connecté et personne d'autre si tu es sur une station de bureau. > > > Dans ce cas tout est normal concernant les autorisations pour ton > > > serveur X. > > > > [EMAIL PROTECTED] patrick]$ xauth list > > localhost:0 MIT-MAGIC-COOKIE-1 417 > > localhost/unix:0 MIT-MAGIC-COOKIE-1 4 > > [EMAIL PROTECTED] patrick]$ > > > > là je comprends pas, tu me dit tout est normal concernant les > > autorisations du serveur x 11 ... pourtant si je vais sur > > http://check.sdv.fr , il me dit port ouvert x 11 . , est ce que s'il > > est ouvert cela ne peut pas dire qu'il soit accessible a quiqonque ? un > > detail a du m'echapper . > > merci en tout cas pour tes explications. > > Ben si ;)) > Bien sûr que ton port est ouvert sans ça pas de x > Maintenant pour sécuriser l'accès au serveur X: deux protocoles sont en > oeuvre : > > 1) > l'autorisation au niveau de la machine, c'est ce que nous avons testé > par "xhost" : ceci doit te donner "access control enabled,only > authorized clients can connect" et éventuellment la liste les clients > autorisés. > On peut autoriser tout les client par une commande "xhost -" très > dangereux bien sûr mais peut-être nécessaire dans certains cas. > "xhost +" remet en place le contrôle de connexion. À noter que la > commande xhost n'agit que le temps de la session puis retour au > paramétrage par défaut (je ne connais pas de distribution sans > autorisation ...heureusement) > > 2) Le "MAGIC-COOKIE" dans le répertoire utilisateur qui améliore la > sécurité par l'utilisation d'une clé. > > En conséquence de quoi je dis que ta machine est "normale" ou > normalement protégée sur X en tout cas pas "déprotégée" (si j'ose dire) > > : en clair tu n'as pas fait de connerie ;) > > 3) Après on peut protéger les données (non cryptées) du trafic grâce à > ssh mais c'est une autre histoire ça! > > 4) Le port est ouvert et vu comme tel par une scan de tes ports (mais ça > n'est pas le seul) mais normalementune session X non autorisée ne sera > pas possible sur ta bécanne(sauf si tu tombes sur un gourou de la chose > mais dans ce cas de toute façon rien ne pourra vraiment te protéger sauf > toi même si tu es de niveau). > > 5) Pour que la requête sur ce port soient ignorée il faudra établir des > règles sur tes connexions Ip : le plus simple et efficace avec un > fichier préconfiguré (standalone pour un poste isolé avec internet par > modem): shorewall. Tu verras qu'à ce moment la requête sur le port 6000 > (c'est X11) sera ignorée et le port non repéré par ce genre de scan. > > 6) Concernant Aol il est possible que peng utilise un port bloqué par > défaut par shorewall ; dans ce cas il faudra connaître lequel (voir le > site, faq, mailing list...) et l'autoriser si on choisit le parefeu. > > Pour terminer même en l'état un Linux reste beaucoup plus sûr qu'un > Windows.Ne serait-ce que même si un port est ouvert encore faut-il qu'il > y ait une faille de sécurité dans le programme qui l'utilise (voir mises > à jour de sécurité) > Mais aucun n'est un coffre fort, c'est sûr ;) -- Patrick Envoye depuis le monde Libre ! Par un Pc sous linux Mandrake 9.1 Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";. Foire Aux Questions de la liste : http://mdk.mondelinux.org
Re: [debutant] Re: x11 et port .
Le sam 07/06/2003 à 18:45, [EMAIL PROTECTED] a écrit : ./.. > > Dernière chose tu fais la commande: > > xauth list > > Là tu devrais voir apparaître la liste des machines autorisée suivie du > > magic cookie et de son code de cryptage alpha numérique. En l'occurence > > > > : ta propre machine si tu es déconnecté plus ton fournisseur d'accès si > > > > tu es connecté et personne d'autre si tu es sur une station de bureau. > > Dans ce cas tout est normal concernant les autorisations pour ton > > serveur X. > [EMAIL PROTECTED] patrick]$ xauth list > localhost:0 MIT-MAGIC-COOKIE-1 417 > localhost/unix:0 MIT-MAGIC-COOKIE-1 4 > [EMAIL PROTECTED] patrick]$ > > là je comprends pas, tu me dit tout est normal concernant les autorisations > du serveur x 11 ... pourtant si je vais sur http://check.sdv.fr , il me dit > port ouvert x 11 . , est ce que s'il est ouvert cela ne peut pas dire > qu'il soit accessible a quiqonque ? un detail a du m'echapper . > merci en tout cas pour tes explications. Ben si ;)) Bien sûr que ton port est ouvert sans ça pas de x Maintenant pour sécuriser l'accès au serveur X: deux protocoles sont en oeuvre : 1) l'autorisation au niveau de la machine, c'est ce que nous avons testé par "xhost" : ceci doit te donner "access control enabled,only authorized clients can connect" et éventuellment la liste les clients autorisés. On peut autoriser tout les client par une commande "xhost -"très dangereux bien sûr mais peut-être nécessaire dans certains cas. "xhost +" remet en place le contrôle de connexion. À noter que la commande xhost n'agit que le temps de la session puis retour au paramétrage par défaut (je ne connais pas de distribution sans autorisation ...heureusement) 2) Le "MAGIC-COOKIE" dans le répertoire utilisateur qui améliore la sécurité par l'utilisation d'une clé. En conséquence de quoi je dis que ta machine est "normale" ou normalement protégée sur X en tout cas pas "déprotégée" (si j'ose dire) : en clair tu n'as pas fait de connerie ;) 3) Après on peut protéger les données (non cryptées) du trafic grâce à ssh mais c'est une autre histoire ça! 4) Le port est ouvert et vu comme tel par une scan de tes ports (mais ça n'est pas le seul) mais normalementune session X non autorisée ne sera pas possible sur ta bécanne(sauf si tu tombes sur un gourou de la chose mais dans ce cas de toute façon rien ne pourra vraiment te protéger sauf toi même si tu es de niveau). 5) Pour que la requête sur ce port soient ignorée il faudra établir des règles sur tes connexions Ip : le plus simple et efficace avec un fichier préconfiguré (standalone pour un poste isolé avec internet par modem): shorewall. Tu verras qu'à ce moment la requête sur le port 6000 (c'est X11) sera ignorée et le port non repéré par ce genre de scan. 6) Concernant Aol il est possible que peng utilise un port bloqué par défaut par shorewall ; dans ce cas il faudra connaître lequel (voir le site, faq, mailing list...) et l'autoriser si on choisit le parefeu. Pour terminer même en l'état un Linux reste beaucoup plus sûr qu'un Windows.Ne serait-ce que même si un port est ouvert encore faut-il qu'il y ait une faille de sécurité dans le programme qui l'utilise (voir mises à jour de sécurité) Mais aucun n'est un coffre fort, c'est sûr ;) -- A. Salaün signature.asc Description: PGP signature
Re: [debutant] Re: x11 et port .
Le Samedi 7 Juin 2003 18:08, André Salaün a écrit : > Le sam 07/06/2003 à 16:15, [EMAIL PROTECTED] a écrit : > > Le Samedi 7 Juin 2003 14:41, André Salaün a écrit : > > > Le sam 07/06/2003 à 14:20, [EMAIL PROTECTED] a écrit : > > > > Le Samedi 7 Juin 2003 13:43, André Salaün a écrit : > > > > > Le sam 07/06/2003 à 12:47, [EMAIL PROTECTED] a écrit : > > > > > > Le Samedi 7 Juin 2003 12:17, André Salaün a écrit : > > > > > > > > > > > > salut , > > > > > > juste bloquer le port de x 11 par une interface gui . > > > > > > apparement ca existe, mais ou ? > > > > > > je ne souhaite pas installer de firewall ca j'utilise aol > > > > > > comme provider ( penggy ) et apparement c'est pas > > > > > > compatible . sur la 9.0 ca m'avait bloque l'acces ;( > > > > > > > > > > > > Patrick . > > > > > > > > > > Que dit la commande "xhost" ? > > > > > > > > [EMAIL PROTECTED] patrick]$ xhost > > > > access control enabled, only authorized clients can connect > > > > > > > > c'est une commande qui verifie l'acces d'autre machine a celle > > > > sur laquelle je suis ? > > > > > > Vérifie si le control d'accès est actif et il l'est (par défaut sous > > > Mdk)donc je ne vois pas de problème sur ce coup là. > > > > > > As-tu dans ton home (et pour les autres utilisateurs aussi) un fichier > > > caché .Xauthority avec dedans quelque chose du genre (si ta machine est > > > localhost.localdomain) > > > localhost.localdomain MIT-MAGIC-COOKIE-1 ... > > > > file:/home/pas de fichier cachés . > > file:/home/patrick là oui ! > > Dernière chose tu fais la commande: > xauth list > Là tu devrais voir apparaître la liste des machines autorisée suivie du > magic cookie et de son code de cryptage alpha numérique. En l'occurence > > : ta propre machine si tu es déconnecté plus ton fournisseur d'accès si > > tu es connecté et personne d'autre si tu es sur une station de bureau. > Dans ce cas tout est normal concernant les autorisations pour ton > serveur X. [EMAIL PROTECTED] patrick]$ xauth list localhost:0 MIT-MAGIC-COOKIE-1 417 localhost/unix:0 MIT-MAGIC-COOKIE-1 4 [EMAIL PROTECTED] patrick]$ là je comprends pas, tu me dit tout est normal concernant les autorisations du serveur x 11 ... pourtant si je vais sur http://check.sdv.fr , il me dit port ouvert x 11 . , est ce que s'il est ouvert cela ne peut pas dire qu'il soit accessible a quiqonque ? un detail a du m'echapper . merci en tout cas pour tes explications. -- Patrick Envoye depuis le monde Libre ! Par un Pc sous linux Mandrake 9.1 Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";. Foire Aux Questions de la liste : http://mdk.mondelinux.org
Re: [debutant] Re: x11 et port .
Le sam 07/06/2003 à 16:15, [EMAIL PROTECTED] a écrit : > Le Samedi 7 Juin 2003 14:41, André Salaün a écrit : > > Le sam 07/06/2003 à 14:20, [EMAIL PROTECTED] a écrit : > > > Le Samedi 7 Juin 2003 13:43, André Salaün a écrit : > > > > Le sam 07/06/2003 à 12:47, [EMAIL PROTECTED] a écrit : > > > > > Le Samedi 7 Juin 2003 12:17, André Salaün a écrit : > > > > > > > > > > salut , > > > > > juste bloquer le port de x 11 par une interface gui . > > > > > apparement ca existe, mais ou ? > > > > > je ne souhaite pas installer de firewall ca j'utilise aol > > > > > comme provider ( penggy ) et apparement c'est pas > > > > > compatible . sur la 9.0 ca m'avait bloque l'acces ;( > > > > > > > > > > Patrick . > > > > > > > > Que dit la commande "xhost" ? > > > > > > [EMAIL PROTECTED] patrick]$ xhost > > > access control enabled, only authorized clients can connect > > > > > > c'est une commande qui verifie l'acces d'autre machine a celle > > > sur laquelle je suis ? > > > > Vérifie si le control d'accès est actif et il l'est (par défaut sous > > Mdk)donc je ne vois pas de problème sur ce coup là. > > > > As-tu dans ton home (et pour les autres utilisateurs aussi) un fichier > > caché .Xauthority avec dedans quelque chose du genre (si ta machine est > > localhost.localdomain) > > localhost.localdomain MIT-MAGIC-COOKIE-1 ... > > file:/home/pas de fichier cachés . > file:/home/patrick là oui ! Dernière chose tu fais la commande: xauth list Là tu devrais voir apparaître la liste des machines autorisée suivie du magic cookie et de son code de cryptage alpha numérique. En l'occurence : ta propre machine si tu es déconnecté plus ton fournisseur d'accès si tu es connecté et personne d'autre si tu es sur une station de bureau. Dans ce cas tout est normal concernant les autorisations pour ton serveur X. -- A. Salaün signature.asc Description: PGP signature
Re: [debutant] Re: x11 et port .
Le Samedi 7 Juin 2003 14:41, André Salaün a écrit : > Le sam 07/06/2003 à 14:20, [EMAIL PROTECTED] a écrit : > > Le Samedi 7 Juin 2003 13:43, André Salaün a écrit : > > > Le sam 07/06/2003 à 12:47, [EMAIL PROTECTED] a écrit : > > > > Le Samedi 7 Juin 2003 12:17, André Salaün a écrit : > > > > > > > > salut , > > > > juste bloquer le port de x 11 par une interface gui . > > > > apparement ca existe, mais ou ? > > > > je ne souhaite pas installer de firewall ca j'utilise aol > > > > comme provider ( penggy ) et apparement c'est pas > > > > compatible . sur la 9.0 ca m'avait bloque l'acces ;( > > > > > > > > Patrick . > > > > > > Que dit la commande "xhost" ? > > > > [EMAIL PROTECTED] patrick]$ xhost > > access control enabled, only authorized clients can connect > > > > c'est une commande qui verifie l'acces d'autre machine a celle > > sur laquelle je suis ? > > Vérifie si le control d'accès est actif et il l'est (par défaut sous > Mdk)donc je ne vois pas de problème sur ce coup là. > > As-tu dans ton home (et pour les autres utilisateurs aussi) un fichier > caché .Xauthority avec dedans quelque chose du genre (si ta machine est > localhost.localdomain) > localhost.localdomain MIT-MAGIC-COOKIE-1 ... file:/home/pas de fichier cachés . file:/home/patrick là oui ! -- Patrick Envoye depuis le monde Libre ! Par un Pc sous linux Mandrake 9.1 Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";. Foire Aux Questions de la liste : http://mdk.mondelinux.org
Re: [debutant] Re: x11 et port .
Le sam 07/06/2003 à 14:20, [EMAIL PROTECTED] a écrit : > Le Samedi 7 Juin 2003 13:43, André Salaün a écrit : > > Le sam 07/06/2003 à 12:47, [EMAIL PROTECTED] a écrit : > > > Le Samedi 7 Juin 2003 12:17, André Salaün a écrit : > > > > > > salut , > > > juste bloquer le port de x 11 par une interface gui . > > > apparement ca existe, mais ou ? > > > je ne souhaite pas installer de firewall ca j'utilise aol > > > comme provider ( penggy ) et apparement c'est pas > > > compatible . sur la 9.0 ca m'avait bloque l'acces ;( > > > > > > Patrick . > > > > Que dit la commande "xhost" ? > > [EMAIL PROTECTED] patrick]$ xhost > access control enabled, only authorized clients can connect > > c'est une commande qui verifie l'acces d'autre machine a celle > sur laquelle je suis ? Vérifie si le control d'accès est actif et il l'est (par défaut sous Mdk)donc je ne vois pas de problème sur ce coup là. As-tu dans ton home (et pour les autres utilisateurs aussi) un fichier caché .Xauthority avec dedans quelque chose du genre (si ta machine est localhost.localdomain) localhost.localdomain MIT-MAGIC-COOKIE-1 ... -- A. Salaün signature.asc Description: PGP signature
Re: [debutant] Re: x11 et port .
Le Samedi 7 Juin 2003 13:43, André Salaün a écrit : > Le sam 07/06/2003 à 12:47, [EMAIL PROTECTED] a écrit : > > Le Samedi 7 Juin 2003 12:17, André Salaün a écrit : > > > > salut , > > juste bloquer le port de x 11 par une interface gui . > > apparement ca existe, mais ou ? > > je ne souhaite pas installer de firewall ca j'utilise aol > > comme provider ( penggy ) et apparement c'est pas > > compatible . sur la 9.0 ca m'avait bloque l'acces ;( > > > > Patrick . > > Que dit la commande "xhost" ? [EMAIL PROTECTED] patrick]$ xhost access control enabled, only authorized clients can connect c'est une commande qui verifie l'acces d'autre machine a celle sur laquelle je suis ? -- Patrick Envoye depuis le monde Libre ! Par un Pc sous linux Mandrake 9.1 Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";. Foire Aux Questions de la liste : http://mdk.mondelinux.org
Re: [debutant] Re: x11 et port .
Le sam 07/06/2003 à 12:47, [EMAIL PROTECTED] a écrit : > Le Samedi 7 Juin 2003 12:17, André Salaün a écrit : > > salut , > juste bloquer le port de x 11 par une interface gui . > apparement ca existe, mais ou ? > je ne souhaite pas installer de firewall ca j'utilise aol > comme provider ( penggy ) et apparement c'est pas > compatible . sur la 9.0 ca m'avait bloque l'acces ;( > > Patrick . Que dit la commande "xhost" ? -- A. Salaün signature.asc Description: PGP signature
Re: [debutant] Re: x11 et port .
Le Samedi 7 Juin 2003 12:17, André Salaün a écrit : salut , juste bloquer le port de x 11 par une interface gui . apparement ca existe, mais ou ? je ne souhaite pas installer de firewall ca j'utilise aol comme provider ( penggy ) et apparement c'est pas compatible . sur la 9.0 ca m'avait bloque l'acces ;( Patrick . > Le sam 07/06/2003 à 00:06, [EMAIL PROTECTED] a écrit : > > Le Vendredi 6 Juin 2003 11:06, Aurelien Bompard a écrit : > > > Le Thu, 05 Jun 2003 21:12:14 +0200, [EMAIL PROTECTED] a écrit : > > > > bonsoir, > > > > comment aller simplement fermer le port de x11 sans aller jouer du > > > > texte dans x11 r6 ? il s'agit d'une mandrake 9.1 . > > > > > > Tu peux utiliser un firewall, mais sinon il faudra modifier un fichier > > > de conf, forcément. (ou alors il a un GUI que je connais pas) > > > > bonsoir, > > si qq a une idee pour une Gui ... > > sinon pour le firewall, je pense que je vais pas reessayer .. > > la derniere fois plus aucune connection au web ;( > > je suis connecte au web grace a penggy :) je vais pas > > faire de pub ... (?) > > vi je sais l'adsl ici ds 20 ans !!! ... no comment > > > > Patrick . > > Je n'est pas suivi le thread mais devant le manque de réponses je me > glisse : > Pourquoi ne pas utiliser shorewall ? Des fichiers de conf tout faits > existent pour les cas simples : poste isolé avec connexion internet (rtc > d'après ce que je comprends), petit réseau privé. > Peux-tu rappeler ta situation? (réseau,internet) désolé si ça a été déjà > mentionné. -- Patrick Envoye depuis le monde Libre ! Par un Pc sous linux Mandrake 9.1 Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";. Foire Aux Questions de la liste : http://mdk.mondelinux.org
Re: [debutant] Re: x11 et port .
Le sam 07/06/2003 à 00:06, [EMAIL PROTECTED] a écrit : > Le Vendredi 6 Juin 2003 11:06, Aurelien Bompard a écrit : > > Le Thu, 05 Jun 2003 21:12:14 +0200, [EMAIL PROTECTED] a écrit : > > > bonsoir, > > > comment aller simplement fermer le port de x11 sans aller jouer du texte > > > dans x11 r6 ? il s'agit d'une mandrake 9.1 . > > > > Tu peux utiliser un firewall, mais sinon il faudra modifier un fichier de > > conf, forcément. (ou alors il a un GUI que je connais pas) > > bonsoir, > si qq a une idee pour une Gui ... > sinon pour le firewall, je pense que je vais pas reessayer .. > la derniere fois plus aucune connection au web ;( > je suis connecte au web grace a penggy :) je vais pas > faire de pub ... (?) > vi je sais l'adsl ici ds 20 ans !!! ... no comment > > Patrick . Je n'est pas suivi le thread mais devant le manque de réponses je me glisse : Pourquoi ne pas utiliser shorewall ? Des fichiers de conf tout faits existent pour les cas simples : poste isolé avec connexion internet (rtc d'après ce que je comprends), petit réseau privé. Peux-tu rappeler ta situation? (réseau,internet) désolé si ça a été déjà mentionné. -- A. Salaün signature.asc Description: PGP signature
Re: [debutant] Re: x11 et port .
Le Vendredi 6 Juin 2003 11:06, Aurelien Bompard a écrit : > Le Thu, 05 Jun 2003 21:12:14 +0200, [EMAIL PROTECTED] a écrit : > > bonsoir, > > comment aller simplement fermer le port de x11 sans aller jouer du texte > > dans x11 r6 ? il s'agit d'une mandrake 9.1 . > > Tu peux utiliser un firewall, mais sinon il faudra modifier un fichier de > conf, forcément. (ou alors il a un GUI que je connais pas) bonsoir, si qq a une idee pour une Gui ... sinon pour le firewall, je pense que je vais pas reessayer .. la derniere fois plus aucune connection au web ;( je suis connecte au web grace a penggy :) je vais pas faire de pub ... (?) vi je sais l'adsl ici ds 20 ans !!! ... no comment Patrick . > > A+ > > Aurélien -- Patrick Envoye depuis le monde Libre ! Par un Pc sous linux Mandrake 9.1 Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";. Foire Aux Questions de la liste : http://mdk.mondelinux.org