Le Thu, 27 Jul 2000, vous avez �crit :
> Bonsoir � tous,
>
> Je suis vos conversations *tr�s* enrichissantes depuis le d�but, et je
> voudrais y ajouter quelques questions :
>
> > Le mieux est que tu d�sactives tous les services ftp dans un premier
> temps.
> > Par exemple en commentant (par un # en colonne 1) les lignes ftp que tu
> > trouveras dans /etc/services ainsi que dans /etc/inetd.conf.
>
> On m'a dit que FTP �tait le moins s�curis� des protocoles TCP / IP, mais si
> quelqu'un pouvait m'expliquer pourquoi ce serait top ;) !
>
Le moins s�curis�..hum pas moins que telnet...
Le permier probl�me est sa configuration (comme telnet) la plupart des
personnes laissent ce service avec sa config par d�faut, et la oui ca pose un
gros probl�me, sans parler des mots e passes qui passe en clair pour le
FTP/TELNET (que l'on peut r�soudre via openssh).
Le deuxiemme : les nombreux exploits d�couvert (et on en d�couvre encore)
dessus, surtout pour wu-ftpd. Si on se documente pas r�guli�rement sur les
nouveaux "bugs" trouv�, on arrive vite a un gros trou de s�cu, les petits
malins en herbes eux sont on la connaissances de ces bugs tr�s rapidements...
> > Il existe un moyen d'interdire les telnet entrants tout en permettant
> > les telnet sortants (le login et le reste ne se font pas sur les m�mes
> > ports; il suffit donc de commenter le port de login), mais commen�ons
> > simple.
>
> Eeuhh j'avais une id�e plus complexe, mais je ne sais pas si c'est possible
> :
> Y a-t-il moyen de param�trer hosts.allow & hosts.deny par exemple, pour
> autoriser une entr�e telnet, FTP ou autre en fonction de la MAC-Adress de la
> machine distante ?
> Si ceci est possible, on pourrait limiter l'acc�s � une machine (le portable
> du sysop par ex. ) en excluant toutes les autres sur la base de sa carte
> r�seau.
> Cela est-il possible ? Si oui, comment ?
Sur adresse mac a ma connaissance NON. Ces fichiers sont fait pour des adresse
IP et non pas MAC. MAis d�j� une bonne configuration pour limiter juste les
acc�s locaux, bien jouer sur les fichiers de conf des services pour permettre
que certain user permet d'avoir un tr�s bonne s�curit� de base.
En tout cas moi ce que j'en dis pour un PC "poste de travail" a la maison c'est
de bloquer TOUT services (telnetd, ftpd, fingerd, serveur pop/IMAP) on en a pas
besoin pour naviguer sur le net.
Quand plusieurs de ces services sont necessaire:
-bien les configurer
-mettre en place du filtrage via ipchains
>
> Merci et bonne soir�e,
>
> Guillaume
> [EMAIL PROTECTED]
--
-------------------------------
Tchesmeli serge , slackware 7.1
[EMAIL PROTECTED]
http://www.lea-linux.org
Admin r�seau & syst�me
