[pare feu] Utile sous archlinux ?
[pare feu] Utile sous archlinux ?
Bonjour
Si je pose cette question c'est parce qu'après avoir passer 3 ans sous ubuntu ( avant d'être complètement sur archlinux 64 ) sans firewall autre que celui de ma livebox, je me demandais si sous arch je pouvais continuer ainsi ?
Si je pose cette question c'est parce qu'après avoir passer 3 ans sous ubuntu ( avant d'être complètement sur archlinux 64 ) sans firewall autre que celui de ma livebox, je me demandais si sous arch je pouvais continuer ainsi ?
- vincentxavier
- Elfe
- Messages : 778
- Inscription : ven. 11 août 2006, 18:17
- Localisation : Epinay sur Seine (93)
Ben le mieux c'est d'en avoir un. Après, c'est pas grave si tu en a pas (et que tu sais ce qui est exécuté sur ta machine)
Warranty
THIS ADVICE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT.
En clair, je ne pourrais être tenu responsable des dégats causés par l'utilisation de mes conseils
THIS ADVICE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT.
En clair, je ne pourrais être tenu responsable des dégats causés par l'utilisation de mes conseils
ca dépend qu'est ce que tu as sur ta machine et de quel genre de pare feu tu parles, si c'est juste pour controler l'accès à ta machine, il suffit de fermer tous les ports (ce qui est en théorie le cas par défaut) et c'est bon.
enfin, je suis pas expert en sécurité, mais pour un poste non serveur, ca me parait largement suffisant.
enfin, je suis pas expert en sécurité, mais pour un poste non serveur, ca me parait largement suffisant.
- vincentxavier
- Elfe
- Messages : 778
- Inscription : ven. 11 août 2006, 18:17
- Localisation : Epinay sur Seine (93)
heu, si je puis me permettre, si tu bloques tous les ports en entrée, tu ne pourras plus rien faire. En effet, tu pourras bien envoyer tes requêtes vers le grand méchant Nain Ternette, mais celui-ci ne sera plus en mesure de ton répondre !!!
Il te faut donc être plus intelligent et utiliser le suivi de connexion (conntrack) ou alors, autoriser les sorties à destination du port 80 et les entrées qui viennent du port 80, en répétant l'opération pour les différents services aux quels tu veux accéder sur le web.
Pour ce qui est de ce qui sort, tu veux généralement éviter de te faire hacker ou du moins que si ccela arrive, tu ne serves pas de machine à répéter du spam ou à faire du DDoS. Pour cela, il faut ploquer tout ce qui sort.
J'ai essayé de synthétiser tout cela dans une page de wiki !
Il te faut donc être plus intelligent et utiliser le suivi de connexion (conntrack) ou alors, autoriser les sorties à destination du port 80 et les entrées qui viennent du port 80, en répétant l'opération pour les différents services aux quels tu veux accéder sur le web.
Pour ce qui est de ce qui sort, tu veux généralement éviter de te faire hacker ou du moins que si ccela arrive, tu ne serves pas de machine à répéter du spam ou à faire du DDoS. Pour cela, il faut ploquer tout ce qui sort.
J'ai essayé de synthétiser tout cela dans une page de wiki !
Warranty
THIS ADVICE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT.
En clair, je ne pourrais être tenu responsable des dégats causés par l'utilisation de mes conseils
THIS ADVICE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT.
En clair, je ne pourrais être tenu responsable des dégats causés par l'utilisation de mes conseils
- lenglemetz
- Chu Ko Nu
- Messages : 307
- Inscription : dim. 27 mai 2007, 22:26
- Localisation : Marmande
- Contact :
Si tu as aucun port d'ouvert sur la *box genre 5190 aussi et que tu n'as pas de wifi normalement pas de souci, mais du moment ou tu commences a ouvrir et config et ( surtout le wifi ) il te faut une secu iptables
avec ce pare feu bien config, ton pc aura un bon mur et pas les journées portes ouvertes :pQue gagnerais-je à installer iptables ?
[Thème] Sujet (état) |<
• @donf_me • StreaminG • La TeaM à DonF
• @donf_me • StreaminG • La TeaM à DonF
Le bon réflex c'est d'installer un tas de trucs d'aur en root sans rien vérifier.
Je me trompe ?
(Je vais moins faire le malin le jour ou ma ditrib sera KO ...
Je me trompe ?
(Je vais moins faire le malin le jour ou ma ditrib sera KO ...
Dernière modification par hebus le ven. 29 févr. 2008, 15:48, modifié 1 fois.
je sais pas si c'est en réponse à mon post, mais ce que j'ai voulu dire par fermer les ports, je parlais bien évidemment des ports en écoute (cups, ssh, X etc...)vincentxavier a écrit :heu, si je puis me permettre, si tu bloques tous les ports en entrée, tu ne pourras plus rien faire. En effet, tu pourras bien envoyer tes requêtes vers le grand méchant Nain Ternette, mais celui-ci ne sera plus en mesure de ton répondre !!!
@astreides: tu peux toujours l'installer (iptables) le fait qu'il y soit par défaut ou pas ne change rien
juste pour info, quelle est la différence entre un iptable configuré pour bloquer toutes les requetes entrantes non sollicitées et n'avoir aucun programme qui écoute sur le réseau?lenglemetz a écrit : avec ce pare feu bien config, ton pc aura un bon mur et pas les journées portes ouvertes :p
Dernière modification par tuxce le ven. 29 févr. 2008, 15:50, modifié 1 fois.
- vincentxavier
- Elfe
- Messages : 778
- Inscription : ven. 11 août 2006, 18:17
- Localisation : Epinay sur Seine (93)
C'est pas forcément suffisant à mon avis de bloquer les ports des services.
À mon avis, c'est plus complexe
- n'installer que des services qui servent
- ne pas tout lancer en permanence (penser à inetd/xinetd)
- configurer les programmes pour ne pas écouter sur un port si on ne s'en sert pas (par exemple, désactiver l'écoute tcp/udp de X, même mieux, ne pas compiler le support du réseau dans X)
- utiliser un pare-feu
- utiliser les tcp_wrappers pour plus de modularité et de granularité sur les accès !
À mon avis, c'est plus complexe
- n'installer que des services qui servent
- ne pas tout lancer en permanence (penser à inetd/xinetd)
- configurer les programmes pour ne pas écouter sur un port si on ne s'en sert pas (par exemple, désactiver l'écoute tcp/udp de X, même mieux, ne pas compiler le support du réseau dans X)
- utiliser un pare-feu
- utiliser les tcp_wrappers pour plus de modularité et de granularité sur les accès !
Warranty
THIS ADVICE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT.
En clair, je ne pourrais être tenu responsable des dégats causés par l'utilisation de mes conseils
THIS ADVICE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT.
En clair, je ne pourrais être tenu responsable des dégats causés par l'utilisation de mes conseils
pour un poste à usage partiulier, il n'y a pas besoin de services écoutant sur le réseau hors 127.0.0.1, la plupart des services sont configurés pour ne pas le faire:
X à partir de gdm, kdm
cups n'écoute que sur la boucle locale
ssh (meme s'il n'est pas nécessaire pour un usage desktop) est configuré par défaut avec les tcp_wrapper avec un deny all
pour xinetd, personnellement, je l'ai pas installé, mais j'espere qu'il n'est pas en écoute
pour le fait d'installer que des services (programmes) qui servent, c'est un peu le but d'arch, non ?
enfin bon, c'est pas pour discuter l'utilité d'une politique de sécurité ou d'un firewall (qui a l'avantage de ne pas multiplier le risque de faille), c'est plus en rapport à la question et au premier post, je pense qu'il n'est pas moins ou plus utile que sur une autre distrib et qu'il n'est pas nécessaire pour une utilisation standard
X à partir de gdm, kdm
cups n'écoute que sur la boucle locale
ssh (meme s'il n'est pas nécessaire pour un usage desktop) est configuré par défaut avec les tcp_wrapper avec un deny all
pour xinetd, personnellement, je l'ai pas installé, mais j'espere qu'il n'est pas en écoute
pour le fait d'installer que des services (programmes) qui servent, c'est un peu le but d'arch, non ?
enfin bon, c'est pas pour discuter l'utilité d'une politique de sécurité ou d'un firewall (qui a l'avantage de ne pas multiplier le risque de faille), c'est plus en rapport à la question et au premier post, je pense qu'il n'est pas moins ou plus utile que sur une autre distrib et qu'il n'est pas nécessaire pour une utilisation standard
Code : Tout sélectionner
netstat -ntl
Code : Tout sélectionner
lsof -i tcp:x
tu as aussi nmap ou des applications plus évoluées comme nessus ...
en utilisant la commande netstat -ntl, j'ai comme réponse :
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:960 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:7634 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
par contre la commande lsof -i tcp:960 donne : bash: lsof: command not found
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:960 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:7634 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
par contre la commande lsof -i tcp:960 donne : bash: lsof: command not found
fait et résultats :
lsof -i tcp:960
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
famd 7568 root 3u IPv4 14772 TCP *:960 (LISTEN)
lsof -i tcp:7634
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
hddtemp 7711 root 0u IPv4 15311 TCP localhost.localdomain:7634 (LISTEN)
lsof -i tcp:631
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
cupsd 7722 root 3u IPv4 15383 TCP localhost.localdomain:631 (LISTEN)
lsof -i tcp:111
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
portmap 7559 bin 5u IPv4 14766 TCP *:sunrpc (LISTEN)
Ces ports sous ouverts mais masqués selon le site shields up.
Dois-je les fermés ?
lsof -i tcp:960
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
famd 7568 root 3u IPv4 14772 TCP *:960 (LISTEN)
lsof -i tcp:7634
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
hddtemp 7711 root 0u IPv4 15311 TCP localhost.localdomain:7634 (LISTEN)
lsof -i tcp:631
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
cupsd 7722 root 3u IPv4 15383 TCP localhost.localdomain:631 (LISTEN)
lsof -i tcp:111
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
portmap 7559 bin 5u IPv4 14766 TCP *:sunrpc (LISTEN)
Ces ports sous ouverts mais masqués selon le site shields up.
Dois-je les fermés ?
livebox est en pat. : que veux-tu dire par là ?
famd, " perso, je changerai " pourquoi ?
portmap , services rpc utilisés : comment savoir si j'utilise ces services ?
Je suis désolé si mes questions peuvent paraitre bêtes, mais à mon âge il me faut du temps pour bien comprendre et assimiler.
Merci de votre patience
famd, " perso, je changerai " pourquoi ?
portmap , services rpc utilisés : comment savoir si j'utilise ces services ?
Je suis désolé si mes questions peuvent paraitre bêtes, mais à mon âge il me faut du temps pour bien comprendre et assimiler.
Merci de votre patience
pour famd avec l'aide de google j'ai réussi à le limiter à 127.0.0.1
Me reste portmap pour lequel je n'arrive toujours pas à bien comprendre son utilité pour ma config perso en sachant que j'ai un seul pc connecté à internet via la livebox et qu'il ne me sert pas de serveur, et que archlinux est le seul os sur mon pc.
Je joins mon rc.conf , parties deamons, car j'ai installer archlinux avec l'aide de plusieurs tuto, il est possible que j'ai mis des deamons dont j'ai pas besoin
#
# -----------------------------------------------------------------------
# DAEMONS
# -----------------------------------------------------------------------
#
# Daemons to start at boot-up (in this order)
# - prefix a daemon with a ! to disable it
# - prefix a daemon with a @ to start it up in the background
#
DAEMONS=(syslog-ng network netfs cpufreq @crond @acpid @alsa portmap fam
dbus hal stbd @cups sensors hddtemp gdm)
VERBOSEONFAIL="yes"
# End of file
Me reste portmap pour lequel je n'arrive toujours pas à bien comprendre son utilité pour ma config perso en sachant que j'ai un seul pc connecté à internet via la livebox et qu'il ne me sert pas de serveur, et que archlinux est le seul os sur mon pc.
Je joins mon rc.conf , parties deamons, car j'ai installer archlinux avec l'aide de plusieurs tuto, il est possible que j'ai mis des deamons dont j'ai pas besoin
#
# -----------------------------------------------------------------------
# DAEMONS
# -----------------------------------------------------------------------
#
# Daemons to start at boot-up (in this order)
# - prefix a daemon with a ! to disable it
# - prefix a daemon with a @ to start it up in the background
#
DAEMONS=(syslog-ng network netfs cpufreq @crond @acpid @alsa portmap fam
dbus hal stbd @cups sensors hddtemp gdm)
VERBOSEONFAIL="yes"
# End of file