[Topic Unik] Securiser sa passerelle internet :)

Securiser sa passerelle internet :) [Topic Unik] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 20-04-2003 à 01:52:12    

salut,
 
voila LE topic pour securiser sa machine (passerelle ou autre ;))
 
bon, on commence doucement, je propose ke vous postiez vos commentaires et autres experiences perso ;)
 
voilou, longue vie a ce topic :)
 
ATTENTION !!
pour ceux qui sont toujours avec une version 4.3.4 de PHP, upgradez de suite, une faille existe et permet d'executer du code arbitraire, notemment par le biais de backdoor ou rootkit !!
vous êtes prévenus
(merci à jowile pour avoir testé ça pour nous :whistle:

 
 
----------------------------------------------------------------
 
 
le commencement :  
 
Mots de passe
Il faut commencer par mettre au moins un user sur la machine en + de root, et ce, pour lancer les services
Ensuite, mettre des mots de passe d AU MOINS 8 caracteres (alphabetique + numerique + tous les autres : *-_][() ....)
Preferez l utilisation de la fonction mkpasswd plutot que vos mots de passe, car il seront moins aleatoires ;)
 
ensuite, mettre comme shell pour tous les autres comptes, le shell /bin/false ;)
il est tout a fait possible de mettre /bin/false pour apache ;)
en fait vous pouvez mettre ce shell pour pratiquement tous les services
voila ceux ki ont /bin/false chez moi :
- games
- postgres
- www-data
- backup
- operator
- irc
- nobody
- identd
- sshd
- postfix
 
on peut surement mettre ca aussi a sys, bin, lp ...
 
pensez aussi a mettre des mots de passe vide pour ces users (champ a x dans /etc/passwd et a * ds /etc/shadow) ;)
 
Services
Il faut commencer par virer tous les services non utilises (meme virer les executables ;))
 
bon, on peut aussi chrooter les services (on vera pour l explication :D)
 
EDIT: bon j ai essaye chroot et makejail (2 prog differents pour chrooter des services) et je dois dire ke c est la croix et la baniere !!!
alors peut etre que pour un apache de base sans ssl ni php ou mysql c est simple, mais moi avec php + openssl en module, chroot n a jamais voulu marcher :fou:
 
pour makejail, j ai reussi a lancer apache en jail, mais le site ne marchait plus :heink:
 
donc retour a mon bon vieux apache-ssl en mode normal :D
 
Ssh avec clées + passphrase
 
But :se logguer (avec ssh evidemment :D) mais par cle + pass phrase uniquement, et interdire les connexions pas mot de passe uniquement :)
 
 
c est tres simple :
 
generer sa paire de cles privee/publique :

~/ >ssh-keygen -t dsa


rentrer une passphrase NON VIDE !
 
(cle de 1024 bits par defaut)
 
copier sa cle publique sur la machine ou l on veut pouvoir se loguer

scp /home/toto/.ssh/id_dsa.pub toto@mon_pc_sécurisé:/home/toto/.ssh/authorized_keys


 
sur la machine sécurisée : mettre l option

PasswordAuthentication no


ds /etc/ssh/sshd_config et relancer sshd :)
 
voila, ca marche :)
 
ps : pour les nomades avec cle usb par exmple : copier sa cle privee (id_dsa) sur la machine d ou vous voudrez vous connecter ;)
 
ps2 : vous pouvez faire l inverse bien sur : rajouter une cle + passphrase sur la machine securisee ;)
 
nb : pour les gens sous windows utilisant putty, il faut d abord penser a modifier sa cle privée avec putty-gen sinon ca ne marchera jamais :D
 
Kernel Grsecurity + ACLs
La, c est la partie bas niveau :)
Grsecurity est un "pack" de patchs securité, qui permettent notemment l'évasion d un chroot, l apport des ACLs, la restriction des sockets, etc .
 
Commencez deja par recuperer le patch correspondant a votre noyau sur www.grsecurity.org ;)
 
ensuite, patchez !
 
il fo ensuite recompiler votre kernel en activant grsecurity bien sur
hop hop on reboot :D
 
le kernel patché ne suffit pas, il faut activer grsecurity au moyen d un programme en userland (de la meme facon k iptables koi) : gradm ;)
donc :

apt-get install gradm


 
ensuite, il faut un script pour ke grsecurity soit activé au boot :
 

#!/bin/sh
 
# Script de paramètrage GRSEC.
# Auteur: SP18. (sp18@trackfire.net)
 
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/bin/X11
dir=/proc/sys/kernel/grsecurity
 
 
# does the kernel support grsec? yes, continue.. no, STOP
if [ ! -d $dir ]
then
 echo "Your kernel doesn't support grsec..."
 exit 1
fi
 
# can i jump explications here? ;)
# yeah !
case "$1" in
 start)
 id=1
 ;;
 stop)
 id=0
 ;;
 lock)
 # we are locking grsec in order to skip troubles !
 echo 1 >> ${dir}/grsec_lock
 echo "Grsec's parameters are now locked. If you wan't to change them, you MUST reboot your linusque ! don't you mister grsec? ;)"
 exit 0
 ;;
 *)
 echo "Usage: $0 [start|stop|lock]"
 exit 0
 ;;
esac
 
 
# script is doing a listing of grsec's directory files..
for a in `ls $dir`
 do
  # if file is grsec_lock .. just warn it ! © nike
  if [ $a == "grsec_lock" ]
  then
   echo "grsec_lock.. bypass .. must exec $0 lock !"
  else
   # BUT script applies rules :)
   echo $id >> ${dir}/${a}
  fi
 done
 
# 0 in order to skip apache's troubles !
echo 0 >> ${dir}/tpe_restrict_all


 
ce script n est pas de moi ;)
 
Voila, deja avec ca beaucoup de choses sont limitées, mais ce n est rien comparé a ce ke peuvent faire les ACLs !!! (on vera ca plus tard :D)
 
ps : j ai eu klk pb avec grsec et nfs : il ne se lancait plus car grsec le killait (a cause d un pb de socket :/)
 
ATTENTION : ne pas utiliser l option lock pour ce script : sinon, pour modifier les options grsecurity, il faut rebooter !!
 
 
Firewall
Bien sur, un petit iptables avec de bonnes regles :
- tous les ports de fermes
- ouverture uniquement des ports necessaires
- no reponse aux pings
- logs des packets douteux (la y a un paquet de criteres !!!)
- + tout ce qui vous passe par la tete (ban d IP, etc.)
 
pour ceux dont la syntaxe rebute encore pas mal (dont moi :whistle:) voici le lien vers le script iptables surement le plus connu : celui d arno ;)
http://freshmeat.net/projects/ipta [...] pic_id=151
 
bon deja, la avant ke klk un rentre ca devient chaud :)
 
 
Web
Enfin, faire tres tres tres attention a ce qui peut etre execute par apache (php, cgi, etc.)
la il faut faire gaffe aux erreurs d include, sql injection etc.
normalement, apache par defaut n est pas sensible au XSS ou CSS
 
Ne mettez pas la possibilite de lister les repertoires, ca vous evitera des mauvaises surprises :D
 
attention aux droits accordes au ftp aussi ;)
 
bien sur, avec les distribs modernes (debian donc :D), lancer un petit apt-get update && apt-get upgrade
 
pour Mandrake après avoir configuré les sources security, c'est :
urpmi.update -a && urpmi --auto-select + urpmi kernel si besoin de MAJ le kernel. (merci Mjules ;))
 
TOUS LES JOURS !!!
 
 
     Apache
Bon, voici un debut de "securisation" de apache ;)
 
Tout, d abord, si votre site ne sert ke pour vous ou klk personnes passez le en ssl (port 443 ;))
ca restrindra de maniere plus ke significative le nombre d attaques !!
(j avais des km de logs d attaques IIS sur le port 80:lol:)
lorsqu apache se bind sur un port < 1024 il doit etre lance en root (car ces ports lui sont reserves)
donc vous pouves toujours essayer de le chrooter ;) (j ai pas reussi avec apache-ssl :/)
 
ensuite, interdisez l affichage de l arborescence des repertoires : virer simplement l option

Code :
  1. Indexes

:)
faites aussi attention aux liens symboliques, qui sont suivis par defaut ;)
 
 
 
voilou, j attends vos precision + contributions  :hello:  :whistle:
 
 
Autres liens utiles
 
Audit, liens utils sur la secu - post plus en rapport avec la partie sombre de la force : failles, exploits, etc. :D
 
Security Focus - Le site de la secu, en anglais ;)
 
Security Focus Unix - Le site de la secu, partie Unix (donc ki nous interesse plus :D)  
 
Toute la secu internet - site generaliste regroupant pas mal de liens sur tous les sujets de la secu :)
 
HSC - Site de secu en francais
 
KernelNewbies - Site de patch pour le kernel (rubrique secu notamment)
 
Sécuriser sa Debian  
Sécuriser sa debian (oui encore :D)
 
Un excellent site qui rappelle les bases des protocoles, la sécurisation en générale, les outils de scan et le maniement d'iptable. (Sidounet)


Message édité par Tomate le 22-10-2004 à 15:44:19

---------------
:: Light is Right ::
Reply

Marsh Posté le 20-04-2003 à 01:52:12   

Reply

Marsh Posté le 20-04-2003 à 01:59:40    

iop !
 
dite-moi , comment faire pour lancer certains services ( bind (je sais je vais le changer dans pas longtemps) , dhcp , samba , ntp , ssh , vnc par example) , par defaut mandrake lance ces process sous le compte root . Deja ca , se serait bien .

Reply

Marsh Posté le 20-04-2003 à 02:02:29    

tomate77 a écrit :

salut,
 
voila LE topic pour securiser sa machine (passerelle ou autre ;))
 
bon, on commence doucement, je propose ke vous postiez vos commentaires et autres experiences perso ;)
 
voilou, longue vie a ce topic :)
 
----------------------------------------------------------------
 
 
le commencement :  
 
Il faut commencer par mettre au moins un user sur la machine en + de root, et ce, pour lancer les services
Ensuite, mettre des mots de passe d AU MOINS 9 caracteres (alphabetique + numerique + tous les autres : *-_][() ....)
 
ensuite, mettre comme shell pour tous les autres comptes, le shell /bin/false ;)
 
bon, on peut aussi chrooter les services (on vera pour l explication :D)
 
Bien sur, un petit iptables avec de bonnes regles :
- tous les ports de fermes
- ouverture uniquement des ports necessaires
- no reponse aux pings
- logs des packets douteux (la y a un paquet de criteres !!!)
- + tout ce qui vous passe par la tete (ban d IP, etc.)
 
 
bon deja, la avant ke klk un rentre ca devient chaud :)
 
Enfin, faire tres tres tres attention a ce qui peut etre execute par apache (php, cgi, etc.)
la il faut faire gaffe aux erreurs d include, sql injection etc.
normalement, apache par defaut n est pas sensible au XSS ou CSS
 
attention aux droits accordes au ftp aussi ;)
 
bien sur, avec les distribs modernes (debian donc :D), lancer un petit apt-get update && apt-get upgrade ou urpmi truc bidule tous les jours est necessaire ;)
 
voilou, j attends vos precision + contributions  :hello:


Cé de la ségrégation ... [:dawa]
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
[:ddr555]

Reply

Marsh Posté le 20-04-2003 à 02:02:44    

ipnoz a écrit :

iop !
 
dite-moi , comment faire pour lancer certains services ( bind (je sais je vais le changer dans pas longtemps) , dhcp , samba , ntp , ssh , vnc par example) , par defaut mandrake lance ces process sous le compte root . Deja ca , se serait bien .


tu veux faire koi  :??:  
 
pour les services lances en root, tu peux les chrooter ;)


---------------
:: Light is Right ::
Reply

Marsh Posté le 20-04-2003 à 02:03:14    

Zzozo a écrit :


Cé de la ségrégation ... [:dawa]
 
[:ddr555]


koi le petit passage sur la debian  :whistle:


---------------
:: Light is Right ::
Reply

Marsh Posté le 20-04-2003 à 02:05:38    

tomate77 a écrit :


koi le petit passage sur la debian  :whistle:  


Et Gentoo ca compte pour des prunes ptet ?  :pfff:  
(Et les autres aussi ...  :whistle: )
 [:zerod]
 
P.S. : Et les xxBSD, t'en fais quoi hein ?  :p


Message édité par Zzozo le 20-04-2003 à 02:06:20
Reply

Marsh Posté le 20-04-2003 à 02:06:26    

Zzozo a écrit :


Et Gentoo ca compte pour des prunes ptet ?  :pfff:  
(Et les autres aussi ...  :whistle: )
 [:zerod]  


 
hehe chuis sur ke ca attirera plus de monde comme ca :whistle:


---------------
:: Light is Right ::
Reply

Marsh Posté le 20-04-2003 à 02:08:34    

bon et pis arrete de pourrir mon topic zZozo :o
 
 :p


Message édité par Tomate le 20-04-2003 à 02:08:44

---------------
:: Light is Right ::
Reply

Marsh Posté le 20-04-2003 à 02:10:57    

tomate77 a écrit :


 
hehe chuis sur ke ca attirera plus de monde comme ca :whistle:  


Tu veux un titre qui accroche ?  :o
"Sécuriser Windaube 2000" ... [:dawa]
A mon avis l'un des premiers posts risque d'être ...
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
... "Autant se jeter d'une falaise" ...  :whistle:  
 [:zerod]
[:fok]  
 
 
N.B. : Vous aurez remarqué un ingrédient pour un tomic à succès, à savoir un gros troll du fin fond des cavernes, bien velu ... :o
Manques plus qu'un peu de sexe et de violence pour en faire the tomic à succès ... [:cupra]


Message édité par Zzozo le 20-04-2003 à 02:12:15
Reply

Marsh Posté le 20-04-2003 à 02:11:01    

Attenetion aux caractères spéciaux dans les mot de passe !!!! Moi je me suis fait avoir une fois, j'avais mis le caractère "à" et quand j'ai voulu me connecter à distance j'avais un clavier sur lequel il n'y avait pas ce p... de m... de caractère...  :D


---------------
Les hommes se trompent, les preuves elles, ne mentent jamais...
Reply

Marsh Posté le 20-04-2003 à 02:11:01   

Reply

Marsh Posté le 20-04-2003 à 02:11:27    

tomate77 a écrit :


tu veux faire koi  :??:  
 
pour les services lances en root, tu peux les chrooter ;)


 
Ben lancer les daemons bind ou samba sous le compte que j'ai creé plutot qu'en root . C'est possible? Ou les chrooter seulement ? De toute facon , ils n'ecoutent que sur mon LAN .

Reply

Marsh Posté le 20-04-2003 à 02:11:32    

tomate77 a écrit :

bon et pis arrete de pourrir mon topic zZozo :o
 
 :p  


Trop tareeeeeeeuuuhhhh ... [:dawa]

Reply

Marsh Posté le 20-04-2003 à 02:27:35    

Sujet : [Topic Unik] Securiser sa passerelle internet :)
 
 
[:meganne]


---------------
x,y,z
Reply

Marsh Posté le 20-04-2003 à 10:05:04    

à faire également : appliquer un patch de sécu au kernel (genre grsecurity) afin d'effectuer quelques restrictions nécessaires pour durcir (beaucoup) le système.
          - rendre la pile non éxécutable (contre les BOF)
          - restreindre l'accès à /proc pour les users
          - PID aléatoires
          - durcir les chroots (impossibilité de chrooter un chroot,...)
          - modification de la pile tcp/ip (par celle d'openbsd)
          - et bien d'autres encore ...


Message édité par nikosaka le 20-04-2003 à 10:15:49
Reply

Marsh Posté le 20-04-2003 à 14:18:53    

tomate77 a écrit :


tu veux faire koi  :??:  
 
pour les services lances en root, tu peux les chrooter ;)


 
En parlant de chrooter, c'est réellement pris en compte de base pour dhcpd ??? (il n'y a plus à tripatouiller d'une manière incompréhensible pour moi les fichiers de conf avant compilation ???)
 
Comme j'ai déjà Bind de chrooter, ce serait bien pour avoir aussi une reco dynamique des adresses. Et plus chrooter Bind  :non: !
 
Le passant.

Reply

Marsh Posté le 20-04-2003 à 14:46:17    

Le passant a écrit :


 
En parlant de chrooter, c'est réellement pris en compte de base pour dhcpd ??? (il n'y a plus à tripatouiller d'une manière incompréhensible pour moi les fichiers de conf avant compilation ???)
 
Comme j'ai déjà Bind de chrooter, ce serait bien pour avoir aussi une reco dynamique des adresses. Et plus chrooter Bind  :non: !
 
Le passant.


be je sais po car j ai po installer bind ni dhcpd :D


---------------
:: Light is Right ::
Reply

Marsh Posté le 20-04-2003 à 14:58:39    

perso sur mon server, j'ai ajouter un 2eme compte root de secours. au cas ou un connard chopais le passwd et le changeais  :)  
 
ca peut limiter les degats  :o


Message édité par Zaib3k le 20-04-2003 à 14:59:08

---------------
Le droit à la différence s'arrête là où ça commence à m'emmerder sérieusement.
Reply

Marsh Posté le 20-04-2003 à 15:03:54    

Zaib3k a écrit :

perso sur mon server, j'ai ajouter un 2eme compte root de secours. au cas ou un connard chopais le passwd et le changeais  :)  
 
ca peut limiter les degats  :o


kel interet s il passe root, il fait ce k il veut : il vire l autre compte !


---------------
:: Light is Right ::
Reply

Marsh Posté le 20-04-2003 à 15:05:22    

tomate77 a écrit :


kel interet s il passe root, il fait ce k il veut : il vire l autre compte !


ouais mais il peut le laisser aussi.
 
on ne pense jamais a tout :D
 
c aussi une protection en cas d'oubli de passwd.  [:joce]


---------------
Le droit à la différence s'arrête là où ça commence à m'emmerder sérieusement.
Reply

Marsh Posté le 20-04-2003 à 17:04:18    

Zaib3k a écrit :


ouais mais il peut le laisser aussi.
 
on ne pense jamais a tout :D
 
c aussi une protection en cas d'oubli de passwd.  [:joce]  


 :D


---------------
:: Light is Right ::
Reply

Marsh Posté le 20-04-2003 à 17:12:17    

Il suffit de debrancher la prise de telephone :o
Ou la prise rj45 :o
 
On peut aussi couper le courrant :o
 
Sinon, plus serieusement, deja virer tous les services qui ne servent a rien, faire un bon script iptables (je peux poster le mien en exemple si ca vous botte), mmettre a jour regulierement contre les failles, installer une debian, ne pas utiliser les ports par defaut pr les services (style pas de ssh en 22 mais en 42357 par ex ! pareil pr le ftp ...), et scanner sa machine avec nmap pour voir ce que ca donne !
 
C'est tt ce qui me vient en tete là, mais j'ai pas dormi bcp donc bon ... le reste reviendra p-e


---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 20-04-2003 à 17:16:09    

HuGoBioS a écrit :

Il suffit de debrancher la prise de telephone :o
Ou la prise rj45 :o
 
On peut aussi couper le courrant :o
 
Sinon, plus serieusement, deja virer tous les services qui ne servent a rien, faire un bon script iptables (je peux poster le mien en exemple si ca vous botte), mmettre a jour regulierement contre les failles, installer une debian, ne pas utiliser les ports par defaut pr les services (style pas de ssh en 22 mais en 42357 par ex ! pareil pr le ftp ...), et scanner sa machine avec nmap pour voir ce que ca donne !
 
C'est tt ce qui me vient en tete là, mais j'ai pas dormi bcp donc bon ... le reste reviendra p-e


 
http://amg.sytes.net/dummies/dummies5877.png
ca existe ? juste pour des scan de base ?


---------------
Le droit à la différence s'arrête là où ça commence à m'emmerder sérieusement.
Reply

Marsh Posté le 20-04-2003 à 17:22:35    

HuGoBioS a écrit :


ne pas utiliser les ports par defaut pr les services (style pas de ssh en 22 mais en 42357 par ex ! pareil pr le ftp ...)


 
 :pfff:


---------------
x,y,z
Reply

Marsh Posté le 20-04-2003 à 17:30:06    

j'ai pas dit de mettre un serveur http en 45712, mais si tu fait un serveur ftp perso pr tes potes et toi, tu peux prendre un port exotique !
 
Faut etre un acharné pr se tapper le scan des 65000 ports d'une machine !
 
Nmap marche pr les scans de base (nmapfe pr la gui)


---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 20-04-2003 à 17:37:02    

HuGoBioS a écrit :

j'ai pas dit de mettre un serveur http en 45712, mais si tu fait un serveur ftp perso pr tes potes et toi, tu peux prendre un port exotique !
 
Faut etre un acharné pr se tapper le scan des 65000 ports d'une machine !
 
Nmap marche pr les scans de base (nmapfe pr la gui)

:jap:


---------------
:: Light is Right ::
Reply

Marsh Posté le 20-04-2003 à 17:40:22    

de rien petit scarabé ;-)
 
je poste mon script iptable pr ceux que ca interesse ou tout le monde s'en contre tamponne le coquillard :??:


---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 20-04-2003 à 17:44:47    

HuGoBioS a écrit :

j'ai pas dit de mettre un serveur http en 45712, mais si tu fait un serveur ftp perso pr tes potes et toi, tu peux prendre un port exotique !
 
Faut etre un acharné pr se tapper le scan des 65000 ports d'une machine !
 
Nmap marche pr les scans de base (nmapfe pr la gui)


 
Heureusement que non.
 
Parce que tu crois que mettre ton srv FTP sur un port exotique le rendra invisible ?
Laisse moi rire, ce serait trop facile.


Message édité par Z-Axis le 20-04-2003 à 17:45:08

---------------
x,y,z
Reply

Marsh Posté le 20-04-2003 à 17:45:27    

HuGoBioS a écrit :

de rien petit scarabé ;-)
 
je poste mon script iptable pr ceux que ca interesse ou tout le monde s'en contre tamponne le coquillard :??:


ca depend ;)
 
car je sais ke le script Arno est vraiment top, donc si tu peux rivaliser c ok :whistle:


---------------
:: Light is Right ::
Reply

Marsh Posté le 20-04-2003 à 17:46:06    

Z-Axis a écrit :


 
Heureusement que non.
 
Parce que tu crois que mettre ton srv FTP sur un port exotique le rendra invisible ?
Laisse moi rire, ce serait trop facile.


pour les scripts kidies et autres scan de stro, c est deja un + ;)


---------------
:: Light is Right ::
Reply

Marsh Posté le 20-04-2003 à 17:47:09    

au fait je rappel l etat d esprit de ce post : c est pour s entraider, par pour savoir c est ki le plus gros warlordz en secu :pfff:  
 
et pis aussi evitez k il porte en troll :hello:


---------------
:: Light is Right ::
Reply

Marsh Posté le 20-04-2003 à 17:55:35    

Z-Axis a écrit :


 
Heureusement que non.
 
Parce que tu crois que mettre ton srv FTP sur un port exotique le rendra invisible ?
Laisse moi rire, ce serait trop facile.

j'ai jamais dis ca
mais ecxuse moi, faut vraiment pas avoir de bol pour tomber sur un acharné qui va se taper tous les ports de TA machine! Le plus gros risque pr un serveur perso c'est le gars qui scan des plages d'ip et des ports definis! A moins que tu heberge des données secret defense ...
 
 
 
TOmate, je connais pas le script de arno, mais poste le ici, il me semble que c'ets le bon tomic, non ?


---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 20-04-2003 à 17:58:08    

HuGoBioS a écrit :

j'ai jamais dis ca
mais ecxuse moi, faut vraiment pas avoir de bol pour tomber sur un acharné qui va se taper tous les ports de TA machine! Le plus gros risque pr un serveur perso c'est le gars qui scan des plages d'ip et des ports definis! A moins que tu heberge des données secret defense ...
 
 
 
TOmate, je connais pas le script de arno, mais poste le ici, il me semble que c'ets le bon tomic, non ?


je sais po si c est tres utile, car il fait 2 kilometres de long :D
 
pk ne pas plutot parler des choses a interdire/logguer/etc. pour un script de firewall ???
car la syntaxe, dans tout langage de programmation ne doit pas etre un obstacle (:D)
 
bref, c est l approche qui est importante ;)


---------------
:: Light is Right ::
Reply

Marsh Posté le 20-04-2003 à 18:01:52    

je dirais que la je regarde pour les histoires de log ;) et un petit coup de snort :D

Reply

Marsh Posté le 20-04-2003 à 18:08:09    

tomate77 a écrit :


je sais po si c est tres utile, car il fait 2 kilometres de long :D
 
pk ne pas plutot parler des choses a interdire/logguer/etc. pour un script de firewall ???
car la syntaxe, dans tout langage de programmation ne doit pas etre un obstacle (:D)
 
bref, c est l approche qui est importante ;)

oui c'est sur ;-) mais bon l'apprentissage d'iptables est plutot ... chaint ! a la rigeur poste un lien vers le script de ce monsieur si tu pense qu'il nuira a la lisibilité du sujet


---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le 20-04-2003 à 18:12:55    

HuGoBioS a écrit :

oui c'est sur ;-) mais bon l'apprentissage d'iptables est plutot ... chaint ! a la rigeur poste un lien vers le script de ce monsieur si tu pense qu'il nuira a la lisibilité du sujet


 
voila le lien vers le script du monsieur ;)
 
je le rajoute ds la 1ere page (enfin 1er post plutot :D) :hello:


---------------
:: Light is Right ::
Reply

Marsh Posté le 20-04-2003 à 18:14:38    

Euh, faudrait savoir si ce topic se destine vraiment à sécuriser ou simplement à s'amuser.
 
J'ai des doutes là [:meganne]


---------------
x,y,z
Reply

Marsh Posté le 20-04-2003 à 18:16:39    

Z-Axis a écrit :

Euh, faudrait savoir si ce topic se destine vraiment à sécuriser ou simplement à s'amuser.
 
J'ai des doutes là [:meganne]


pk :??:  
 
moi je voulais rassembler tout ce k il fo savoir et faire pour avoir une machine securisee (a notre nivo)
 
c mal ??


---------------
:: Light is Right ::
Reply

Marsh Posté le 20-04-2003 à 18:24:46    

Un petit guide sur les bases de la sécurisation (le chapitre 3 surtout):
 
http://www.mandrakelinux.com/en/do [...] uide.html/
 
 
aussi, interdire le log direct en root sur quelque console que ce soit. (les consoles autorisées sont dans /etc/securetty )


Message édité par Mjules le 20-04-2003 à 18:26:23

---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 20-04-2003 à 19:39:16    

HuGoBioS a écrit :

Il suffit de debrancher la prise de telephone :o
Ou la prise rj45 :o
 
On peut aussi couper le courrant :o
 
Sinon, plus serieusement, deja virer tous les services qui ne servent a rien, faire un bon script iptables (je peux poster le mien en exemple si ca vous botte), mmettre a jour regulierement contre les failles, installer une debian, ne pas utiliser les ports par defaut pr les services (style pas de ssh en 22 mais en 42357 par ex ! pareil pr le ftp ...), et scanner sa machine avec nmap pour voir ce que ca donne !
 
C'est tt ce qui me vient en tete là, mais j'ai pas dormi bcp donc bon ... le reste reviendra p-e


 
Euh, pourquoi la Debian, je comprends po trop la ???
Ca m'échappe.
 
Utiliser une distri la plus légère possible sans tout le tintoin, ok.. (donc éviter si possible mandrake & Redhat ou y faire des coupe sombre).
Par tintoin, je comprends la désactivation des services ET la supressions de leurs executables !!!
 
Mais c'est pas d'utiliser Debian qui va nous sauver  :lol: !
 
Tu m'aurais dit un *BSD, ok, mais une Debian  :whistle: .
 
Le passant.
 
Ps : dsl pour le troll !


Message édité par le passant le 20-04-2003 à 19:40:21
Reply

Marsh Posté le 20-04-2003 à 20:21:34    

Le passant a écrit :


 
Euh, pourquoi la Debian, je comprends po trop la ???
Ca m'échappe.
 
Utiliser une distri la plus légère possible sans tout le tintoin, ok.. (donc éviter si possible mandrake & Redhat ou y faire des coupe sombre).
Par tintoin, je comprends la désactivation des services ET la supressions de leurs executables !!!
 
Mais c'est pas d'utiliser Debian qui va nous sauver  :lol: !
 
Tu m'aurais dit un *BSD, ok, mais une Debian  :whistle: .
 
Le passant.
 
Ps : dsl pour le troll !

Bien sur il fallait voir le leger troll qui a pu montrer le bout de son nez ;-)
 
en fait j'aime bien la deb pr un serv pr apt-get update && apt-get upgrade ! Ca permet d'avoir un system tjs a jours et sans failles connues en un minimum de tps et d'efforts ! Celà dit d'autre distrib doivent le faire aussi bien je n'en doute pas !


---------------
-= In Kik00 101 I trust :o =-
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed