Le Mercredi 11 Janvier 2006 13:50, Garaud Jean-Claude a écrit : > On Wednesday 11 January 2006 10:57, xavier benigni wrote: > > > AMHA le vrai danger sous Linux ce sont plutôt les rootkits. Et ça ce > > > n'est par vraiment évident de s'en protéger (pas plus ni moins que sous > > > W$ d'ailleurs). > > > > un rootkit ne s'install que si un faille de secu permet de passer root, > > soit de l'exterieur, soitr de l'interieur. > > en utilisation domestique (ou si tu es sur des gens qui utilisent les > > machines) : > > deja une bonne utilisation de netfilter (IPtables). > > ensuite les mises a jours reguliere de secu > > ensuite chkrootkit > > et enfin tripwire (sinature de fichiers) > > > > en infrastructure ajouter : > > surveillance du reseau (etherall, etherap) > > plutôt ethereal et etherape non ? > > > surveillance des machines (nmap) > > Nous sommes bien d'accord, mais : > > - les failles de sécurité ne sont pas rares : pour s'en protéger est-il > prudent de mettre "urpmi.update -a" dans un cron ? > Je pense que tu peu (avec un paramétrage) faire uniquement les mises à jour de sécurité. > - un bon paramétrage d'IPtables est complexe C' est d' accord et cela est presque devenu une spécialité à part entière. Pour mon routeur/firewall/...etc personnel j' utilise un shell script
http://olivieraj.free.fr/fr/linux/programme/netfilter_cfg/ Pub gratuite; la doc est à lire car on y apprend plein de choses sur le filtrage IP. > > - chkrootkit est très facile à utiliser, mais ce qui serait bien c'est que > sa mise à jour et les vérifications se fassent automatiquement et > régulièrement avec émission d'un message à root en cas de problème : un > simple petit script devait permettre d'automatiser ça. Il existe peut-être > même déjà ? > > - il faudrait surveiller régulièrement tripwire, ethereal, etherape, nmap : > qui, à part un administrateur réseau payé pour ça (et encore !), a le temps > de le faire ? Pas moi en tout cas :( Regarde du coté de l' excellent nessus pour les audits/vérification de sécurité. http://www.nessus.org > Si tu sais comment obtenir automatiquement, en cas de problème, une alerte > _claire et concise_ en provenance de ces outils, ça m'intéresse. Je me > demande si on peut configurer msec pour faire ça ? Comme dit ailleurs j' ai déjà utilisé snort pour cela; il est capable d' envoyer des alertes par mail; (à revisiter car cela date). http://www.snort.org > > Jean-Claude
____________________________________________________ Want to buy your Pack or Services from Mandriva? Go to http://store.mandriva.com Join the Club : http://www.mandrivaclub.com ____________________________________________________
