D'abord merci pour la r�ponse. Le mer 31/07/2002 � 12:18, Marc SCHAEFER a �crit : > > Je m'excuse si j'envoie deux fois, mais il me semble que le message [...] > Quelle distribution et version ? Quel outil de d�tection d'intrusion ?
Distribution MandrakeLinux 8.1 et ce doit �tre msec. De plus je doit dire qu'avec les droits d'un utilisateur je ne peux plus lister le contenu de /usr/bin par exemple, mais je peux toujour utiliser su par exemple. L� je dois avouer ma faiblaisse quand au droit Unix, car j'ai le droit de entrer dans le r�pertoire (x), mais pas le droit lecture (r). Cela signifie que l'on ne peut pas lister, mais tout de m�me ex�cuter un fichier ayant les droits idoines dans ce r�pertoire ? > Bon, peut-�tre simplement quelqu'un/quelque chose a ajout� ces fichiers > en suid root. Ou le programme d'intrusion detection n'avait pas encore > �t� lanc�. Bien, mais quel est l'avantage de suid? C'est de lancer un prog comme utilisateur et que le programme soit en fait lanc� en root? > > NB: une id�e pourrait �tre de faire la liste des programmes suid de la > machine et de les restreindre � un groupe donn�, genre `pingok', > `suok', etc. Ainsi en cas d'exploit -- en particulier sur une machine > r�ellement multiutilisateur au niveau d'UNIX -- on est tranquille. Et comment fait-on cela ? [...] > Ces documents �tant cr��s par l'utilisateur final, je conseille d'ajouter > un masque (voir la doc de Samba) excluant ces bits. Ou de monter le > fs export� avec nosuid,nosgid comme options. > C'est juste, ils sont cr�� par l'utilisateur final. Mais le probl�me est de pouvoir y avoir acc�s, m�me si l'on est pas l'utilisateur en question. Par exemple de pouvoir pour mon p�re de cr�er un document dans le r�pertoire du comptable pour que ce dernier puisse le relire. Car mon p�re travail avec W98 et on ne peut pas attribuer des droits. Je sais je voudrais bien passer � tout linux, mais .... j'ai encore des applications qui fonctionnes sous Windows (et que sous Windows). > > Jul 31 04:01:53 ntsrv : - Opened ports : tcp 0 0 > > *:960 *:* LISTEN =20 > > 1628/rpc.rquotad > > daemon NFS, probablement inutile, supprimer. ben je travail sous linux moi, je veux pas me connecter au serveur par smb (me semble qu'il y a des probl�mes si par exemple la communication est coup�e. Impossible de d�monter le fs etc. Je m'explique j'ai une connexion lignelou�e de moins de 1km, y zont coup� la communication durant la nuit, alors que le serveur UNIX avait contact� une machine NT et avait mont� un r�pertoire samba. Impossible alors, m�me apr�s reconnexion de la ligne de d�monter le r�pertoire, sans parler des probl�mes de temps apr�s, car si je liste /mnt/... cela prend un temps TRES long pour afficher quoi que ce soit. Seul moyen que j'ai trouv� rebooter la machine.... :( Je suis ouvert � tout > > De m�me pour les autres services: LDAP, IMAP/ssl, etc. Firewaller > PostgreSQL sauf si utilis� par ODBC sur les clients p.ex. Voir supprimer > l'�coute TCP de ce service. Ben LDAP est utilis� pour loguer les machines UNIX, et je veux �galement l'utiliser comme annuaire et IMAP je l'utilise pour la messagerie interne, PostgeSQL y'a une base qui tourne et y'a des clients qui y acc�dent par ODBC et bient�t en natif. > > Id�alement sur le serveur il ne devrait rester que Samba, voire SSH si la > maintenance est distante. > Ben pour moi je pr�f�rerait supprimer SAMBA. Effectivement je trouve beaucoup d'avantage avec ssh, puisque je peux l'administer de ma machine linux, m�me lorsque je suis dans un autre bureau (c'est-�-dire tout le temps) > non, mais le moins de services tournent, le moins de cheveux blanc en cas > de probl�me de s�curit�. L� j'approuve, mais bon je vais pas mettre un serveur par service en local. Et pis je veux que mon serveur SERVE! C'est vrai que c'est le serveur qui a le plus de service. L'autre (NT) partage uniquement l'impression et les fichiers. > > Je l'accorde qu'en local c'est en g�n�ral moins risqu�, mais. > Mais quoi????.... Ca y est j'ai des cheveux blanc! ;) Bon, je vais regarder les logs, et ce par la console sur le serveur lui-m�me. Jean-Bruno -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se d�sabonner aussi.
