[pare feu] Utile sous archlinux ?

Applications, problèmes de configuration réseau
astreides
Chu Ko Nu
Messages : 433
Inscription : dim. 27 janv. 2008, 09:37

[pare feu] Utile sous archlinux ?

Message par astreides » ven. 29 févr. 2008, 15:05

Bonjour

Si je pose cette question c'est parce qu'après avoir passer 3 ans sous ubuntu ( avant d'être complètement sur archlinux 64 ) sans firewall autre que celui de ma livebox, je me demandais si sous arch je pouvais continuer ainsi ?

Avatar de l’utilisateur
vincentxavier
Elfe
Messages : 778
Inscription : ven. 11 août 2006, 18:17
Localisation : Epinay sur Seine (93)
Contact :

Message par vincentxavier » ven. 29 févr. 2008, 15:26

Ben le mieux c'est d'en avoir un. Après, c'est pas grave si tu en a pas (et que tu sais ce qui est exécuté sur ta machine)
Warranty

THIS ADVICE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT.

En clair, je ne pourrais être tenu responsable des dégats causés par l'utilisation de mes conseils

Image

Avatar de l’utilisateur
tuxce
Maître du Kyudo
Messages : 6677
Inscription : mer. 12 sept. 2007, 16:03
Contact :

Message par tuxce » ven. 29 févr. 2008, 15:31

ca dépend qu'est ce que tu as sur ta machine et de quel genre de pare feu tu parles, si c'est juste pour controler l'accès à ta machine, il suffit de fermer tous les ports (ce qui est en théorie le cas par défaut) et c'est bon.
enfin, je suis pas expert en sécurité, mais pour un poste non serveur, ca me parait largement suffisant.

astreides
Chu Ko Nu
Messages : 433
Inscription : dim. 27 janv. 2008, 09:37

Message par astreides » ven. 29 févr. 2008, 15:36

Mon pc n'a pas d'utilisation serveur.
Est-ce que iptables est installé par defaut comme sous ubuntu?
Par ailleurs les différents tests de scan de ports fait sur internet montre que la livebox fait bien son travail.

Que gagnerais-je à installer iptables ?

Avatar de l’utilisateur
vincentxavier
Elfe
Messages : 778
Inscription : ven. 11 août 2006, 18:17
Localisation : Epinay sur Seine (93)
Contact :

Message par vincentxavier » ven. 29 févr. 2008, 15:43

heu, si je puis me permettre, si tu bloques tous les ports en entrée, tu ne pourras plus rien faire. En effet, tu pourras bien envoyer tes requêtes vers le grand méchant Nain Ternette, mais celui-ci ne sera plus en mesure de ton répondre !!!

Il te faut donc être plus intelligent et utiliser le suivi de connexion (conntrack) ou alors, autoriser les sorties à destination du port 80 et les entrées qui viennent du port 80, en répétant l'opération pour les différents services aux quels tu veux accéder sur le web.

Pour ce qui est de ce qui sort, tu veux généralement éviter de te faire hacker ou du moins que si ccela arrive, tu ne serves pas de machine à répéter du spam ou à faire du DDoS. Pour cela, il faut ploquer tout ce qui sort.

J'ai essayé de synthétiser tout cela dans une page de wiki !
Warranty

THIS ADVICE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT.

En clair, je ne pourrais être tenu responsable des dégats causés par l'utilisation de mes conseils

Image

Avatar de l’utilisateur
lenglemetz
Chu Ko Nu
Messages : 307
Inscription : dim. 27 mai 2007, 22:26
Localisation : Kamikaze Land
Contact :

Message par lenglemetz » ven. 29 févr. 2008, 15:46

Si tu as aucun port d'ouvert sur la *box genre 5190 aussi ;) et que tu n'as pas de wifi normalement pas de souci, mais du moment ou tu commences a ouvrir et config et ( surtout le wifi ) il te faut une secu iptables
Que gagnerais-je à installer iptables ?
avec ce pare feu bien config, ton pc aura un bon mur et pas les journées portes ouvertes :p
☠ ☠ ☠ ⅛|™ ☠ ☠ ☠ ¬|¬ Born To Be Web ¬|¬ DonF ¬|¬ ☠ ☠ ☠ ®|© > [Thème] Sujet (état) <

hebus
Daikyu
Messages : 63
Inscription : jeu. 21 sept. 2006, 12:46
Contact :

Message par hebus » ven. 29 févr. 2008, 15:46

Le bon réflex c'est d'installer un tas de trucs d'aur en root sans rien vérifier. :fou:

Je me trompe ?

(Je vais moins faire le malin le jour ou ma ditrib sera KO ... :marteau:
Dernière modification par hebus le ven. 29 févr. 2008, 15:48, modifié 1 fois.

Avatar de l’utilisateur
tuxce
Maître du Kyudo
Messages : 6677
Inscription : mer. 12 sept. 2007, 16:03
Contact :

Message par tuxce » ven. 29 févr. 2008, 15:47

vincentxavier a écrit :heu, si je puis me permettre, si tu bloques tous les ports en entrée, tu ne pourras plus rien faire. En effet, tu pourras bien envoyer tes requêtes vers le grand méchant Nain Ternette, mais celui-ci ne sera plus en mesure de ton répondre !!!
je sais pas si c'est en réponse à mon post, mais ce que j'ai voulu dire par fermer les ports, je parlais bien évidemment des ports en écoute :) (cups, ssh, X etc...)

@astreides: tu peux toujours l'installer (iptables) le fait qu'il y soit par défaut ou pas ne change rien :)
lenglemetz a écrit : avec ce pare feu bien config, ton pc aura un bon mur et pas les journées portes ouvertes :p
juste pour info, quelle est la différence entre un iptable configuré pour bloquer toutes les requetes entrantes non sollicitées et n'avoir aucun programme qui écoute sur le réseau?
Dernière modification par tuxce le ven. 29 févr. 2008, 15:50, modifié 1 fois.

astreides
Chu Ko Nu
Messages : 433
Inscription : dim. 27 janv. 2008, 09:37

Message par astreides » ven. 29 févr. 2008, 16:06

Euh ! cela me semble bien complqué ...

Avatar de l’utilisateur
vincentxavier
Elfe
Messages : 778
Inscription : ven. 11 août 2006, 18:17
Localisation : Epinay sur Seine (93)
Contact :

Message par vincentxavier » ven. 29 févr. 2008, 16:09

C'est pas forcément suffisant à mon avis de bloquer les ports des services.

À mon avis, c'est plus complexe
- n'installer que des services qui servent
- ne pas tout lancer en permanence (penser à inetd/xinetd)
- configurer les programmes pour ne pas écouter sur un port si on ne s'en sert pas (par exemple, désactiver l'écoute tcp/udp de X, même mieux, ne pas compiler le support du réseau dans X)
- utiliser un pare-feu
- utiliser les tcp_wrappers pour plus de modularité et de granularité sur les accès !
Warranty

THIS ADVICE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT.

En clair, je ne pourrais être tenu responsable des dégats causés par l'utilisation de mes conseils

Image

Avatar de l’utilisateur
tuxce
Maître du Kyudo
Messages : 6677
Inscription : mer. 12 sept. 2007, 16:03
Contact :

Message par tuxce » ven. 29 févr. 2008, 16:33

pour un poste à usage partiulier, il n'y a pas besoin de services écoutant sur le réseau hors 127.0.0.1, la plupart des services sont configurés pour ne pas le faire:
X à partir de gdm, kdm
cups n'écoute que sur la boucle locale
ssh (meme s'il n'est pas nécessaire pour un usage desktop) est configuré par défaut avec les tcp_wrapper avec un deny all
pour xinetd, personnellement, je l'ai pas installé, mais j'espere qu'il n'est pas en écoute :)
pour le fait d'installer que des services (programmes) qui servent, c'est un peu le but d'arch, non :P ?

enfin bon, c'est pas pour discuter l'utilité d'une politique de sécurité ou d'un firewall (qui a l'avantage de ne pas multiplier le risque de faille), c'est plus en rapport à la question et au premier post, je pense qu'il n'est pas moins ou plus utile que sur une autre distrib et qu'il n'est pas nécessaire pour une utilisation standard :)

astreides
Chu Ko Nu
Messages : 433
Inscription : dim. 27 janv. 2008, 09:37

Message par astreides » ven. 29 févr. 2008, 16:34

Question youte bête, comment vérifier que mon pc est sécurisé ; savoir quels ports sont ouverts ? etc ...

Avatar de l’utilisateur
tuxce
Maître du Kyudo
Messages : 6677
Inscription : mer. 12 sept. 2007, 16:03
Contact :

Message par tuxce » ven. 29 févr. 2008, 16:54

Code : Tout sélectionner

netstat -ntl
te donnent les ports en écoute

Code : Tout sélectionner

lsof -i tcp:x
te donne par exemple l'application ayant ouvert le port x en tcp
tu as aussi nmap ou des applications plus évoluées comme nessus ...

astreides
Chu Ko Nu
Messages : 433
Inscription : dim. 27 janv. 2008, 09:37

Message par astreides » ven. 29 févr. 2008, 17:09

en utilisant la commande netstat -ntl, j'ai comme réponse :

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:960 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:7634 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN

par contre la commande lsof -i tcp:960 donne : bash: lsof: command not found

Avatar de l’utilisateur
tuxce
Maître du Kyudo
Messages : 6677
Inscription : mer. 12 sept. 2007, 16:03
Contact :

Message par tuxce » ven. 29 févr. 2008, 17:34

astreides a écrit :bash: lsof: command not found
:roll: tu l'installes!

astreides
Chu Ko Nu
Messages : 433
Inscription : dim. 27 janv. 2008, 09:37

Message par astreides » ven. 29 févr. 2008, 17:49

fait et résultats :

lsof -i tcp:960
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
famd 7568 root 3u IPv4 14772 TCP *:960 (LISTEN)

lsof -i tcp:7634
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
hddtemp 7711 root 0u IPv4 15311 TCP localhost.localdomain:7634 (LISTEN)

lsof -i tcp:631
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
cupsd 7722 root 3u IPv4 15383 TCP localhost.localdomain:631 (LISTEN)

lsof -i tcp:111
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
portmap 7559 bin 5u IPv4 14766 TCP *:sunrpc (LISTEN)

Ces ports sous ouverts mais masqués selon le site shields up.
Dois-je les fermés ?

Avatar de l’utilisateur
tuxce
Maître du Kyudo
Messages : 6677
Inscription : mer. 12 sept. 2007, 16:03
Contact :

Message par tuxce » ven. 29 févr. 2008, 18:08

ils sont masqués parce la livebox est en pat.

cups et hddtemp n'écoutent pas sur le réseau,
par contre famd (qui monitore les changements), je vois pas pourquoi il n'est pas limité à 127.0.0.1, perso, je changerai
pour portmap, ca depend ce que tu utilises comme service rpc?

astreides
Chu Ko Nu
Messages : 433
Inscription : dim. 27 janv. 2008, 09:37

Message par astreides » ven. 29 févr. 2008, 18:22

livebox est en pat. : que veux-tu dire par là ?

famd, " perso, je changerai " pourquoi ?

portmap , services rpc utilisés : comment savoir si j'utilise ces services ?

Je suis désolé si mes questions peuvent paraitre bêtes, mais à mon âge il me faut du temps pour bien comprendre et assimiler.

Merci de votre patience

astreides
Chu Ko Nu
Messages : 433
Inscription : dim. 27 janv. 2008, 09:37

Message par astreides » ven. 29 févr. 2008, 19:37

pour famd avec l'aide de google j'ai réussi à le limiter à 127.0.0.1

Me reste portmap pour lequel je n'arrive toujours pas à bien comprendre son utilité pour ma config perso en sachant que j'ai un seul pc connecté à internet via la livebox et qu'il ne me sert pas de serveur, et que archlinux est le seul os sur mon pc.

Je joins mon rc.conf , parties deamons, car j'ai installer archlinux avec l'aide de plusieurs tuto, il est possible que j'ai mis des deamons dont j'ai pas besoin

#
# -----------------------------------------------------------------------
# DAEMONS
# -----------------------------------------------------------------------
#
# Daemons to start at boot-up (in this order)
# - prefix a daemon with a ! to disable it
# - prefix a daemon with a @ to start it up in the background
#
DAEMONS=(syslog-ng network netfs cpufreq @crond @acpid @alsa portmap fam
dbus hal stbd @cups sensors hddtemp gdm)

VERBOSEONFAIL="yes"
# End of file

astreides
Chu Ko Nu
Messages : 433
Inscription : dim. 27 janv. 2008, 09:37

Message par astreides » ven. 29 févr. 2008, 20:09

Personne....

Désolé si on quitte un peu le sujet du départ mais les questions me viennent au fur et à mesure.

Répondre