----- Original Message -----
From: "Guillaume DELANOY" <[EMAIL PROTECTED]>
> Je suis vos conversations *tr�s* enrichissantes depuis le
d�but, et je
> voudrais y ajouter quelques questions :
>
> > Le mieux est que tu d�sactives tous les services ftp dans un
premier
> temps.
> > Par exemple en commentant (par un # en colonne 1) les
lignes ftp que tu
> > trouveras dans /etc/services ainsi que dans /etc/inetd.conf.
>
> On m'a dit que FTP �tait le moins s�curis� des protocoles TCP /
IP, mais si
> quelqu'un pouvait m'expliquer pourquoi ce serait top ;) !
FTP comme TELNET comme POP3 et d'autres v�hiculent les login mot
de passe en clair sur le reseau.
En gros, c est facile en "ecoutant" de facon illicite le traffic
reseau de recuperer ces infos la
> > Il existe un moyen d'interdire les telnet entrants tout en
permettant
> > les telnet sortants (le login et le reste ne se font pas sur
les m�mes
> > ports; il suffit donc de commenter le port de login), mais
commen�ons
> > simple.
Si tu n'as pas besoin de te connecter sur ton linux depuis une
autre machine, autant desactiver telnet en commentant avec un #
la ligne de /etc/inetd.conf (et pas d autres fichiers) concernant
TELNETD. Ensuit il faut faire un kill -HUP sur le PID (process
ID) du demon inetd (obtenu avec la commande ps ax)
Cette manipulation n'empeche pas d'utiliser un client telnet pour
te connecter depuis ton linux sur une autre machine.
> Eeuhh j'avais une id�e plus complexe, mais je ne sais pas si
c'est possible
> :
> Y a-t-il moyen de param�trer hosts.allow & hosts.deny par
exemple, pour
> autoriser une entr�e telnet, FTP ou autre en fonction de la
MAC-Adress de la
> machine distante ?
> Si ceci est possible, on pourrait limiter l'acc�s � une machine
(le portable
> du sysop par ex. ) en excluant toutes les autres sur la base de
sa carte
> r�seau.
> Cela est-il possible ? Si oui, comment ?
TELNET FTP et les autres protocoles du genre sont des protocoles
TCP/IP.
TCP/IP�est au dessus d'Ethernet (puisqu on parle le MAC address)
et donc les paquets TCP/IP qui sont encapsul�s dans des trames
ETHERNET n'ont aucune info sur les MAC address.
J'ajoute que la MAC address n'existe que sur ETHERNET donc si t
as un client sur un reseau TOKEN-RING => pas de MAC ADDRESS.
Enfin, et de toutes facons sauf si les clients sont dans le meme
sous reseau que ta propre machine, quand les trames ethernet
arrive sur ton PC par ta carte ethernet, la trame ethernet
contient comme destination address l'address MAC de ta carte
ethernet, et comme source address, l'address MAC que la gateway
d'acces � ton sous r�seau (un routeur par exemple) puisque le
paquet IP arrive directement de la gateway.
Donc pour conclure, le filtrage des acces TELNET ou FTP ou tout
autres services TCP/IP ne peut etre bas� que sur des adresses IP,
des ports TCP/UDP et eventuellement on peut filtrer les acces a
des utilisateurs (voir PAM).
j'encourage les gens qui voudraient avoir des d�tails sur tout
cela, de commencer par jeter un coup d oeil (voire un peu plus) a
la theorie des reseaux TCP/IP, puis aux man et HOW-TO de PAM
(/etc/security/access.conf), INETD.CONF , IPCHAINS, TCPWRAPPER
(et j en oublie certainement)...
Voir aussi le site LEA de serge SCHMILBLIK ;) qui ressense
beaucoup de tips
Je sais que bouffer des man des HOW-TO et des RFC, c est pas tres
excitant mais ca contient des informations qu'on retrouve
d�velopp�es dans tous les bouquins qui sont assez chers en
librairie.
----------------------------------------------------------
Frederic PLE
email: [EMAIL PROTECTED] Yahoo! Messenger: gvfred
----------------------------------------------------------
Get free certificates and use digital signature for emails :
http://www.thawte.com/certs/personal/contents.html
Make money to surf :
https://www.alladvantage.com/home.asp?refid=IIU-338
http://www.mediabarre.com/cgi-bin/mba.cgi?004761
