[Sécurité Serveur] Telnet port 25 non sécurisé?

[elfangor]

Bonjour à tous,
Je dispose d'un serveur maison installer par mes soins(sous debian pour l'instant, bientôt sous arch, etant donné que ce n'est pas un serveur "sensible").
Je m'en sert principalement pour héberger un site perso, feed-on-feeds(quelqu'un connais quelque chose de mieux sur le même principe?), et faire des tests

Il y a quelques temps j'ai installé sendmail pour voir comment ça marche, et je l'ai laissé en me disant que ça pourrais servir si je décide d'ajouter des utilisateurs sur mon site avec confirmation par mail.

Récemment j'ai regardé les logs de connexion et j'ai vu que j'avais environ 2 attaques par heures sur mon ssh. Cela ma poussé a me pencher sur la sécurité(domaine qui m'intéresse fortement par ailleurs:) ).
Maintenant le ssh est plutôt sécurisé.

Code : Tout sélectionner

Port 22
Port 443
//Le port 443 me permet de passer si jamais un proxy interdit l'acces au port 22

MaxStartups 3:30:10
PermitRootLogin no
AllowUsers mon_user

Cela me convient pour un serveur qui ne contient rien de sensible.

nmap me renvoie:

Code : Tout sélectionner

22/tcp    open  ssh
25/tcp    open  smtp
80/tcp    open  http
443/tcp   open  https
3306/tcp  open  mysql

22: sécurisé
80: sécurisé
443: Mon ssh(2eme port) la connexion marche
3306: le mysql distant, il faut que je le stop(pas encore cherché)

25: Le port qui m'inquiete le plus.
Ce port correspond a sendmail.
Pour m'en convaincre j'ai fait un telnet localhost 25.
Surprise un prompt avec possibilité d'envoyer un mail à monaddresse@gmail.
Et ceux sans identifiant.
Un telnet à partir d'une machine distant(merci no-ip pour le dns) me permet aussi d'envoyer des mail mais uniquement en localhost apparemment.
En effet si j'essaye d'écrire à mon adresse gmail j'ai le droit à: Relay access denied.
Mais le principe qu'un inconnu peux se connecter à ma machine sans mot de passe m'inquiète un peu. Est-ce dangereux?

Je n'ai pas vraiment trouvé de la doc très clair sur ce point, meme si ce n'est pas spécifique à arch, ça reste sur linux, je me suis donc permis de poster.
Si jamais le sujet n'a pas à être posté ici sa ne me derange pas de le déplacer/supprimer:)

P.S: Pour tester le mail j'ai utilisé wikipedia

[benjarobin]

Si tu as un peu de temps, un peu de lecture : http://olivieraj.free.fr/fr/linux/information/firewall/
Sinon la config par défaut de mysql (je crois) n'utilise pas tcp... Voir /etc/my.conf (sinon le man)
Pour sendmail ne connaissant pas mais je suis sur qu'il y a un manuel ^^

[elfangor]

Merci de ta réponse rapide,
Je vais regarder ton lien ça correspond pas mal à ce que je cherchais,merci!

De mon coté j'ai un peu cherché pour mysql.
J'ai vu sur un forum que l'option skip-networking empecher mysql d'écouter sur le réseau.

Un petit /skip-networking dans my.cnf:

Code : Tout sélectionner

# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
bind-address            = 127.0.0.1

Donc pas de souci vu qu'il n'écoute que pour localhost

Pour l'instant je vais désactiver la redirection du port 25 de ma box vers mon serveur, mais cela m'inquiète quand même d'avoir eut cette accès à ma machine d'ouvert, même si l'on peux uniquement envoyer des mail.

De plus apparement c'est le fonctionnement "normal" de sendmail:
http://www.yuki-onna.co.uk/email/smtp.html
Si je comprend bien, si je connais une adresse mail, je peux me servir de cette adresse pour envoyer un mail en smtp? Cela me semble quand même étrange...

[catwell]

La question est : pourquoi as-tu un sendmail installé ? Ça fait longtemps qu'on lui préfère d'autres MTA comme Postfix.

[elfangor]

Pardon j'ai confondu, c 'est bien postfix que j'ai d'installé.

Code : Tout sélectionner

netstat -taupe
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        User       
[...]
tcp        0      0 *:smtp                  *:*                     LISTEN      root       106853      12696/master
[...]

whereis master
master: /usr/share/man/man5/master.5.gz /usr/share/man/man8/master.8postfix.gz

J'ai modifié le master.cf dans postfix:

Code : Tout sélectionner

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  y       -       -       -       -       smtpd

telnet localhost 25
Trying ::1...
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused
Et voila ça me semble correcte

[ProofOfConcept]

Tu as aussi Qmail qui est réputé pour sa sécurité.