On Sun, Apr 15, 2001 at 10:55:31AM +0200, Philippe CHARLIER wrote: > Petite precision : je n'y connais pas grand chose en reseaux. > Me documenter sur le sujet fait partie de ma liste de "Y a qu'a" mais je n'ai > pas encore eu le temps. Donc, je sais qu'il y a des man, howtos, etc. Mais > je ne les ai pas encore lu.
Tsss. > Je pose donc la question suivante avec comme intention : > "C'est grave docteur ?" <a lire avec un tremolo d'inquietude dans la voix> Je vais r�pondre comme un docteur. "Non mais..." suivi de longues explications techniques incompr�hensibles par le commun des mortels. > Dans le "Planete Linux d'avril", il y a un article "Partager sa machine > Linux" et un paragraphe "Securiser votre serveur". > Ils conseillent d'utiliser la commande nmap -p 1- <adresse ip> pour voir les > ports ouverts et conseillent de les fermer. Lis d�j� la doc de nmap. C'est un outil formidable, extr�mement puissant mais il faut lire la doc... Avant de continuer, j'aurais aim� savoir quelle distrib tu utilises. Si tu as xinetd, tu peux le configurer pour la plupart de tes services pour qu'il n'accepte que les requ�tes de ton r�seau local. C'est ce que je fais avec ma ligne ADSL. Sinon, tu peux configurer le filtrage IP du noyau pour trasher certains ports. > (The 65526 ports scanned but not shown below are in state: closed) Ceci n'a que peu d'int�r�t pour toi. > Port State Service > 53/tcp open domain Attention. Tu as un DNS qui tourne. V�rifie qu'il n'est pas sensible au gouffre de s�curit� d�couvert il n'y a pas tellement longtemps. Installe les patches de bind. Surtout ne pas d�sactiver celui-ci pour l'ext�rieur, sinon vos requ�tes DNS n'auront pas de r�ponse. > 515/tcp open printer Je suppose que tu as une imprimante. Bloque ce port pour acc�s interne uniquement. Il n'est d�marr� par inetd, donc il faut voir la config du daemon ou filtrer dans le noyau. > 631/tcp open unknown > 1024/tcp open kdm > 1025/tcp open listen > 1125/tcp open unknown > 5432/tcp open postgres Grosso modo pareil que pour le 515. > 6000/tcp open X11 Attention aux xhost abusifs. La fa�on d'exploiter �a est � discuter mais c'est peu risqu�. > C'est dangereux point de vue securite tout cela. Reste � jour pour les updates de s�curit� et �a ira. Lis tes logs aussi. Perso, j'ai un service dummy pour que quelqu'un scannant mon r�seau soit aussit�t ajout� dans le filtre input en DENY. Ca ne marche pas avec lesSYN scans et est risqu� en mode decoy mais c'est d�j� bien pour �viter les kiddies qui ne lisent pas la doc de nmap... ;-) > Ceci dit, je ne suis pas la NASA, je ne ressent pas non plus le besoin d'etre > dans une forteresse. Tu VAS te faire attaquer avec une connexion cable. Garanti. Il y a plein d'autres aspects � la s�curit� mais je n'ai pas le temps d'en discuter maintenant. Eric. [ Soyez pr�cis dans vos sujets svp afin de d�terminer directement ] [ le type de demande... ] [ Pour vous (d�s)inscrire, aller sur http://linuxbe.org/ml.php ] [ http://LinuxBe.org Contact: [EMAIL PROTECTED] ]
