On Thu, 16 Nov 2000, Markus Schutz wrote:
> Ah oui, inutile de faire un 'ls -al /usr/X11R6/lib/X11' vous ne verez
rootkit a remplac� ls.
> Puree, un firewall 'ipchains' reject all, suivi de regles
[ ... ]
> time-out de 5min sur des ports UDP restes ouvert. Heureusement la
aha, quels services UDP tournent-ils sur cette machine ?
-> ne pas tourner portmap si on n'a pas besoin de RPC/NFS
-> ne pas tourner NFS (mountd, nfsd)
De plus, je suis �tonn� de voir que sur un *serveur*, X11 soit install�.
Au minimum, si quelques utilisateurs ont en besoin, il faut prot�ger
pour un groupe donn� (genre xok).
PS: mon conseil:
netstat -an | grep LISTEN
netstat -an | grep udp
Tous les services qui tournent encore doivent �tre mis � jour, et
monitor�s. Si possible en avoir peu. Dans certains cas, tourner certains
services sous chroot peut-�tre utile (je pense � BIND, encore qu'aucune
des versions *r�centes* n'a souffert de probl�mes de s�curit� *pour autant
que la compilation ait enlev� des options non utilis�es*).
Services minimaux. Monitoring. Mise � jour.
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question.
