Page 1 sur 2

[pare feu] Utile sous archlinux ?

Publié : ven. 29 févr. 2008, 15:05
par astreides
Bonjour

Si je pose cette question c'est parce qu'après avoir passer 3 ans sous ubuntu ( avant d'être complètement sur archlinux 64 ) sans firewall autre que celui de ma livebox, je me demandais si sous arch je pouvais continuer ainsi ?

Publié : ven. 29 févr. 2008, 15:26
par vincentxavier
Ben le mieux c'est d'en avoir un. Après, c'est pas grave si tu en a pas (et que tu sais ce qui est exécuté sur ta machine)

Publié : ven. 29 févr. 2008, 15:31
par tuxce
ca dépend qu'est ce que tu as sur ta machine et de quel genre de pare feu tu parles, si c'est juste pour controler l'accès à ta machine, il suffit de fermer tous les ports (ce qui est en théorie le cas par défaut) et c'est bon.
enfin, je suis pas expert en sécurité, mais pour un poste non serveur, ca me parait largement suffisant.

Publié : ven. 29 févr. 2008, 15:36
par astreides
Mon pc n'a pas d'utilisation serveur.
Est-ce que iptables est installé par defaut comme sous ubuntu?
Par ailleurs les différents tests de scan de ports fait sur internet montre que la livebox fait bien son travail.

Que gagnerais-je à installer iptables ?

Publié : ven. 29 févr. 2008, 15:43
par vincentxavier
heu, si je puis me permettre, si tu bloques tous les ports en entrée, tu ne pourras plus rien faire. En effet, tu pourras bien envoyer tes requêtes vers le grand méchant Nain Ternette, mais celui-ci ne sera plus en mesure de ton répondre !!!

Il te faut donc être plus intelligent et utiliser le suivi de connexion (conntrack) ou alors, autoriser les sorties à destination du port 80 et les entrées qui viennent du port 80, en répétant l'opération pour les différents services aux quels tu veux accéder sur le web.

Pour ce qui est de ce qui sort, tu veux généralement éviter de te faire hacker ou du moins que si ccela arrive, tu ne serves pas de machine à répéter du spam ou à faire du DDoS. Pour cela, il faut ploquer tout ce qui sort.

J'ai essayé de synthétiser tout cela dans une page de wiki !

Publié : ven. 29 févr. 2008, 15:46
par lenglemetz
Si tu as aucun port d'ouvert sur la *box genre 5190 aussi ;) et que tu n'as pas de wifi normalement pas de souci, mais du moment ou tu commences a ouvrir et config et ( surtout le wifi ) il te faut une secu iptables
Que gagnerais-je à installer iptables ?
avec ce pare feu bien config, ton pc aura un bon mur et pas les journées portes ouvertes :p

Publié : ven. 29 févr. 2008, 15:46
par hebus
Le bon réflex c'est d'installer un tas de trucs d'aur en root sans rien vérifier. :fou:

Je me trompe ?

(Je vais moins faire le malin le jour ou ma ditrib sera KO ... :marteau:

Publié : ven. 29 févr. 2008, 15:47
par tuxce
vincentxavier a écrit :heu, si je puis me permettre, si tu bloques tous les ports en entrée, tu ne pourras plus rien faire. En effet, tu pourras bien envoyer tes requêtes vers le grand méchant Nain Ternette, mais celui-ci ne sera plus en mesure de ton répondre !!!
je sais pas si c'est en réponse à mon post, mais ce que j'ai voulu dire par fermer les ports, je parlais bien évidemment des ports en écoute :) (cups, ssh, X etc...)

@astreides: tu peux toujours l'installer (iptables) le fait qu'il y soit par défaut ou pas ne change rien :)
lenglemetz a écrit : avec ce pare feu bien config, ton pc aura un bon mur et pas les journées portes ouvertes :p
juste pour info, quelle est la différence entre un iptable configuré pour bloquer toutes les requetes entrantes non sollicitées et n'avoir aucun programme qui écoute sur le réseau?

Publié : ven. 29 févr. 2008, 16:06
par astreides
Euh ! cela me semble bien complqué ...

Publié : ven. 29 févr. 2008, 16:09
par vincentxavier
C'est pas forcément suffisant à mon avis de bloquer les ports des services.

À mon avis, c'est plus complexe
- n'installer que des services qui servent
- ne pas tout lancer en permanence (penser à inetd/xinetd)
- configurer les programmes pour ne pas écouter sur un port si on ne s'en sert pas (par exemple, désactiver l'écoute tcp/udp de X, même mieux, ne pas compiler le support du réseau dans X)
- utiliser un pare-feu
- utiliser les tcp_wrappers pour plus de modularité et de granularité sur les accès !

Publié : ven. 29 févr. 2008, 16:33
par tuxce
pour un poste à usage partiulier, il n'y a pas besoin de services écoutant sur le réseau hors 127.0.0.1, la plupart des services sont configurés pour ne pas le faire:
X à partir de gdm, kdm
cups n'écoute que sur la boucle locale
ssh (meme s'il n'est pas nécessaire pour un usage desktop) est configuré par défaut avec les tcp_wrapper avec un deny all
pour xinetd, personnellement, je l'ai pas installé, mais j'espere qu'il n'est pas en écoute :)
pour le fait d'installer que des services (programmes) qui servent, c'est un peu le but d'arch, non :P ?

enfin bon, c'est pas pour discuter l'utilité d'une politique de sécurité ou d'un firewall (qui a l'avantage de ne pas multiplier le risque de faille), c'est plus en rapport à la question et au premier post, je pense qu'il n'est pas moins ou plus utile que sur une autre distrib et qu'il n'est pas nécessaire pour une utilisation standard :)

Publié : ven. 29 févr. 2008, 16:34
par astreides
Question youte bête, comment vérifier que mon pc est sécurisé ; savoir quels ports sont ouverts ? etc ...

Publié : ven. 29 févr. 2008, 16:54
par tuxce

Code : Tout sélectionner

netstat -ntl
te donnent les ports en écoute

Code : Tout sélectionner

lsof -i tcp:x
te donne par exemple l'application ayant ouvert le port x en tcp
tu as aussi nmap ou des applications plus évoluées comme nessus ...

Publié : ven. 29 févr. 2008, 17:09
par astreides
en utilisant la commande netstat -ntl, j'ai comme réponse :

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:960 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:7634 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN

par contre la commande lsof -i tcp:960 donne : bash: lsof: command not found

Publié : ven. 29 févr. 2008, 17:34
par tuxce
astreides a écrit :bash: lsof: command not found
:roll: tu l'installes!

Publié : ven. 29 févr. 2008, 17:49
par astreides
fait et résultats :

lsof -i tcp:960
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
famd 7568 root 3u IPv4 14772 TCP *:960 (LISTEN)

lsof -i tcp:7634
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
hddtemp 7711 root 0u IPv4 15311 TCP localhost.localdomain:7634 (LISTEN)

lsof -i tcp:631
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
cupsd 7722 root 3u IPv4 15383 TCP localhost.localdomain:631 (LISTEN)

lsof -i tcp:111
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
portmap 7559 bin 5u IPv4 14766 TCP *:sunrpc (LISTEN)

Ces ports sous ouverts mais masqués selon le site shields up.
Dois-je les fermés ?

Publié : ven. 29 févr. 2008, 18:08
par tuxce
ils sont masqués parce la livebox est en pat.

cups et hddtemp n'écoutent pas sur le réseau,
par contre famd (qui monitore les changements), je vois pas pourquoi il n'est pas limité à 127.0.0.1, perso, je changerai
pour portmap, ca depend ce que tu utilises comme service rpc?

Publié : ven. 29 févr. 2008, 18:22
par astreides
livebox est en pat. : que veux-tu dire par là ?

famd, " perso, je changerai " pourquoi ?

portmap , services rpc utilisés : comment savoir si j'utilise ces services ?

Je suis désolé si mes questions peuvent paraitre bêtes, mais à mon âge il me faut du temps pour bien comprendre et assimiler.

Merci de votre patience

Publié : ven. 29 févr. 2008, 19:37
par astreides
pour famd avec l'aide de google j'ai réussi à le limiter à 127.0.0.1

Me reste portmap pour lequel je n'arrive toujours pas à bien comprendre son utilité pour ma config perso en sachant que j'ai un seul pc connecté à internet via la livebox et qu'il ne me sert pas de serveur, et que archlinux est le seul os sur mon pc.

Je joins mon rc.conf , parties deamons, car j'ai installer archlinux avec l'aide de plusieurs tuto, il est possible que j'ai mis des deamons dont j'ai pas besoin

#
# -----------------------------------------------------------------------
# DAEMONS
# -----------------------------------------------------------------------
#
# Daemons to start at boot-up (in this order)
# - prefix a daemon with a ! to disable it
# - prefix a daemon with a @ to start it up in the background
#
DAEMONS=(syslog-ng network netfs cpufreq @crond @acpid @alsa portmap fam
dbus hal stbd @cups sensors hddtemp gdm)

VERBOSEONFAIL="yes"
# End of file

Publié : ven. 29 févr. 2008, 20:09
par astreides
Personne....

Désolé si on quitte un peu le sujet du départ mais les questions me viennent au fur et à mesure.