Le sam 07/06/2003 � 18:45, [EMAIL PROTECTED] a �crit : ........./.............. > > Derni�re chose tu fais la commande: > > xauth list > > L� tu devrais voir appara�tre la liste des machines autoris�e suivie du > > magic cookie et de son code de cryptage alpha num�rique. En l'occurence > > > > : ta propre machine si tu es d�connect� plus ton fournisseur d'acc�s si > > > > tu es connect� et personne d'autre si tu es sur une station de bureau. > > Dans ce cas tout est normal concernant les autorisations pour ton > > serveur X. > [EMAIL PROTECTED] patrick]$ xauth list > localhost:0 MIT-MAGIC-COOKIE-1 417........................ > localhost/unix:0 MIT-MAGIC-COOKIE-1 4................................ > [EMAIL PROTECTED] patrick]$ > > l� je comprends pas, tu me dit tout est normal concernant les autorisations > du serveur x 11 ... pourtant si je vais sur http://check.sdv.fr , il me dit > port ouvert x 11 ..... , est ce que s'il est ouvert cela ne peut pas dire > qu'il soit accessible a quiqonque ? un detail a du m'echapper . > merci en tout cas pour tes explications.
Ben si ;)) Bien s�r que ton port est ouvert sans �a pas de x Maintenant pour s�curiser l'acc�s au serveur X: deux protocoles sont en oeuvre : 1) l'autorisation au niveau de la machine, c'est ce que nous avons test� par "xhost" : ceci doit te donner "access control enabled,only authorized clients can connect" et �ventuellment la liste les clients autoris�s. On peut autoriser tout les client par une commande "xhost -" tr�s dangereux bien s�r mais peut-�tre n�cessaire dans certains cas. "xhost +" remet en place le contr�le de connexion. � noter que la commande xhost n'agit que le temps de la session puis retour au param�trage par d�faut (je ne connais pas de distribution sans autorisation ...heureusement) 2) Le "MAGIC-COOKIE" dans le r�pertoire utilisateur qui am�liore la s�curit� par l'utilisation d'une cl�. En cons�quence de quoi je dis que ta machine est "normale" ou normalement prot�g�e sur X en tout cas pas "d�prot�g�e" (si j'ose dire) : en clair tu n'as pas fait de connerie ;) 3) Apr�s on peut prot�ger les donn�es (non crypt�es) du trafic gr�ce � ssh mais c'est une autre histoire �a! 4) Le port est ouvert et vu comme tel par une scan de tes ports (mais �a n'est pas le seul) mais normalementune session X non autoris�e ne sera pas possible sur ta b�canne(sauf si tu tombes sur un gourou de la chose mais dans ce cas de toute fa�on rien ne pourra vraiment te prot�ger sauf toi m�me si tu es de niveau). 5) Pour que la requ�te sur ce port soient ignor�e il faudra �tablir des r�gles sur tes connexions Ip : le plus simple et efficace avec un fichier pr�configur� (standalone pour un poste isol� avec internet par modem): shorewall. Tu verras qu'� ce moment la requ�te sur le port 6000 (c'est X11) sera ignor�e et le port non rep�r� par ce genre de scan. 6) Concernant Aol il est possible que peng utilise un port bloqu� par d�faut par shorewall ; dans ce cas il faudra conna�tre lequel (voir le site, faq, mailing list...) et l'autoriser si on choisit le parefeu. Pour terminer m�me en l'�tat un Linux reste beaucoup plus s�r qu'un Windows.Ne serait-ce que m�me si un port est ouvert encore faut-il qu'il y ait une faille de s�curit� dans le programme qui l'utilise (voir mises � jour de s�curit�) Mais aucun n'est un coffre fort, c'est s�r ;) -- A. Sala�n
signature.asc
Description: PGP signature
