Le Samedi 7 Juin 2003 19:35, Andr� Sala�n a �crit : > Le sam 07/06/2003 � 18:45, [EMAIL PROTECTED] a �crit :
merci pour la precision de tes explications. que pense tu de ca ? Fermer le port 6000 (service X11) Il suffit de modifier le fichier /usr/X11R6/bin/startx en modifiant la ligne : serverargs="" En rajoutant l'option "-nolisten tcp" comme ceci : serverargs="-nolisten tcp" bon pour le firewall et penggy j'avais regarde il y a pas longtemps et personne n'a trouv� de solution ;( je vais reposer la question . Patrick . > ........./.............. > > > > Derni�re chose tu fais la commande: > > > xauth list > > > L� tu devrais voir appara�tre la liste des machines autoris�e suivie du > > > magic cookie et de son code de cryptage alpha num�rique. En l'occurence > > > > > > : ta propre machine si tu es d�connect� plus ton fournisseur d'acc�s si > > > > > > tu es connect� et personne d'autre si tu es sur une station de bureau. > > > Dans ce cas tout est normal concernant les autorisations pour ton > > > serveur X. > > > > [EMAIL PROTECTED] patrick]$ xauth list > > localhost:0 MIT-MAGIC-COOKIE-1 417........................ > > localhost/unix:0 MIT-MAGIC-COOKIE-1 4................................ > > [EMAIL PROTECTED] patrick]$ > > > > l� je comprends pas, tu me dit tout est normal concernant les > > autorisations du serveur x 11 ... pourtant si je vais sur > > http://check.sdv.fr , il me dit port ouvert x 11 ..... , est ce que s'il > > est ouvert cela ne peut pas dire qu'il soit accessible a quiqonque ? un > > detail a du m'echapper . > > merci en tout cas pour tes explications. > > Ben si ;)) > Bien s�r que ton port est ouvert sans �a pas de x > Maintenant pour s�curiser l'acc�s au serveur X: deux protocoles sont en > oeuvre : > > 1) > l'autorisation au niveau de la machine, c'est ce que nous avons test� > par "xhost" : ceci doit te donner "access control enabled,only > authorized clients can connect" et �ventuellment la liste les clients > autoris�s. > On peut autoriser tout les client par une commande "xhost -" tr�s > dangereux bien s�r mais peut-�tre n�cessaire dans certains cas. > "xhost +" remet en place le contr�le de connexion. � noter que la > commande xhost n'agit que le temps de la session puis retour au > param�trage par d�faut (je ne connais pas de distribution sans > autorisation ...heureusement) > > 2) Le "MAGIC-COOKIE" dans le r�pertoire utilisateur qui am�liore la > s�curit� par l'utilisation d'une cl�. > > En cons�quence de quoi je dis que ta machine est "normale" ou > normalement prot�g�e sur X en tout cas pas "d�prot�g�e" (si j'ose dire) > > : en clair tu n'as pas fait de connerie ;) > > 3) Apr�s on peut prot�ger les donn�es (non crypt�es) du trafic gr�ce � > ssh mais c'est une autre histoire �a! > > 4) Le port est ouvert et vu comme tel par une scan de tes ports (mais �a > n'est pas le seul) mais normalementune session X non autoris�e ne sera > pas possible sur ta b�canne(sauf si tu tombes sur un gourou de la chose > mais dans ce cas de toute fa�on rien ne pourra vraiment te prot�ger sauf > toi m�me si tu es de niveau). > > 5) Pour que la requ�te sur ce port soient ignor�e il faudra �tablir des > r�gles sur tes connexions Ip : le plus simple et efficace avec un > fichier pr�configur� (standalone pour un poste isol� avec internet par > modem): shorewall. Tu verras qu'� ce moment la requ�te sur le port 6000 > (c'est X11) sera ignor�e et le port non rep�r� par ce genre de scan. > > 6) Concernant Aol il est possible que peng utilise un port bloqu� par > d�faut par shorewall ; dans ce cas il faudra conna�tre lequel (voir le > site, faq, mailing list...) et l'autoriser si on choisit le parefeu. > > Pour terminer m�me en l'�tat un Linux reste beaucoup plus s�r qu'un > Windows.Ne serait-ce que m�me si un port est ouvert encore faut-il qu'il > y ait une faille de s�curit� dans le programme qui l'utilise (voir mises > � jour de s�curit�) > Mais aucun n'est un coffre fort, c'est s�r ;) -- Patrick Envoye depuis le monde Libre ! Par un Pc sous linux Mandrake 9.1
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";. Foire Aux Questions de la liste : http://mdk.mondelinux.org
