Ouais....chais po pkoi , vu que j'ai un ftpd et un sshd qui tourne 24h/24h depuis 40 jours, j'ai peur qu'on me "pirate"
 
Alors:
Debian Woody (kernel 2.2.19....)
Pure-ftpd 1.0.11 (mais je viens de voir que la 12 est dispo so...vais aller le patcher je pense)
Sshd : OpenSSH-3.0.2p1  Debian 3.0.2p1-7  
 
Config IPCHAINS:
Chain input (policy ACCEPT):
target     prot opt     source                destination           ports
ACCEPT     tcp  ------  anywhere             anywhere              ssh ->   any
ACCEPT     tcp  ------  anywhere             anywhere              any ->   ssh
ACCEPT     tcp  ------  anywhere             anywhere              3000:5000 ->   any
ACCEPT     tcp  ------  anywhere             anywhere              any ->   3000:5000
ACCEPT     tcp  ------  anywhere             anywhere              ftp ->   any
ACCEPT     tcp  ------  anywhere             anywhere              any ->   ftp
ACCEPT     tcp  ------  anywhere             anywhere              ftp-data ->   any
ACCEPT     tcp  ------  anywhere             anywhere              any ->   ftp-data
DENY       udp  ------  anywhere             anywhere              any ->   0:1023
DENY       tcp  ------  anywhere             anywhere              any ->   0:1023
DENY       tcp  -y----  anywhere             anywhere              any ->   any
DENY       icmp ------  anywhere             anywhere              echo-request
Chain forward (policy DENY):
target     prot opt     source                destination           ports
MASQ       all  ------  anywhere             anywhere              n/a
Chain output (policy ACCEPT):
 
 
Donc voilà....et quand je fais un audit de securité (securityspace.com) il me trouve 3 High Hole !!!!! mais bien evidemment vu que c'est l'essai gratuit...je peux pas voir les medium et High holes....
j'ai bien essaye de le faire moi meme avec nessus, mais depuis qqtemp j'ai un big pb, nmap ne fonctionne plus ! je ne peux plus scanner ma machine, mais je peut scanner ttes les autres ip, voici le message :
 
heu.......lol.....j'arrive à faire un nmap, je viens de reesayer...voici ce qu'il me donne:
 
Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on  (192.168.0.2):
(The 1544 ports scanned but not shown below are in state: closed)
Port       State       Service
9/tcp      open        discard                  
13/tcp     open        daytime                  
21/tcp     open        ftp                      
22/tcp     open        ssh                      
25/tcp     open        smtp                    
37/tcp     open        time                    
111/tcp    open        sunrpc                  
113/tcp    open        auth                    
515/tcp    open        printer                  
1241/tcp   open        msg                      
 
 
Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds
 
 
   
 
Heu....je voudrais bien qq conseils plz pour vraiment bloquer, et securiser ma machine svp  

essaye cette adresse et fais les différents scans proposés : http://scan.sygate.com
 
en fait c'est le site d'un bon firewall pour un autre OS (alternatif ), mais c'est bien pratique pour tester ses règles firewall sous nux
 
 

ba a mon avis tu t y est mal pris
j explique :  
tu as input en accept et ensuite tu refuse.
pour avois un firewall digne de ce nom, met tes regels en drop et ensuite tu accept certain ports  
voila  
 

nikauch a écrit a écrit : ba a mon avis tu t y est mal pris j explique :   tu as input en accept et ensuite tu refuse. pour avois un firewall digne de ce nom, met tes regels en drop et ensuite tu accept certain ports   voila

heu...en pratique je dois faire koi ? (je debute )
 
Sinon je viens de scanner avec nessus 1.2 , il m'a trouve une faille concernant exim mais en fait c'est faux (false positive).
 
sinon, je viens de tt commenter dans inetd et de le relancer (killall -HUP inetd), et relancer nmap:
 
Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on  (192.168.0.2):
(The 1549 ports scanned but not shown below are in state: closed)
Port       State       Service
21/tcp     open        ftp                      
22/tcp     open        ssh                      
111/tcp    open        sunrpc                  
515/tcp    open        printer                  
1241/tcp   open        msg                      
 
 
Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds
 
voilà....
heu c koi ça 111,515,1241 ?
 
Bon je viens d'updater les plugin de nessus, et vais refair un scan.

BMOTheKiller a écrit a écrit : essaye cette adresse et fais les différents scans proposés : http://scan.sygate.com   en fait c'est le site d'un bon firewall pour un autre OS (alternatif ), mais c'est bien pratique pour tester ses règles firewall sous nux

ouais dejà fait je connais, mais bon c'est pas super explicite, enfin disons bcp moins interessant que nessus

voici le nouveau result de nessus, plugin à jour, j'ai aucun hole trouvée .
 

 
 
heu...en pratique je dois faire koi ? (je debute  )
 
 
 
   
 
pour info, je viens de refaire un test avec security space....et ça me fait tres peur:
[img][/img]
 
3 trous de securite (HIGH)
1 Medium...
 
   

http://grc.com

bof :-/

commence par mettre tes polices par défaut en DROP, et ouvre petit a petit ce dont tu as besoin, c la regle n°1, tout ce qui n'est pas nécessaire est interdit..alors que dans ton cas vu que tes polices sont ACCEPT tout ce qui n'est pas explicitement refusé est autorisé    
 
le plus simple est de tout fermer d'abord et non l'inverse    
 
(tres bonnes docs sur le site de netfilter)
http://netfilter.samba.org

monokrome a écrit a écrit : commence par mettre tes polices par défaut en DROP, et ouvre petit a petit ce dont tu as besoin, c la regle n°1, tout ce qui n'est pas nécessaire est interdit..alors que dans ton cas vu que tes polices sont ACCEPT tout ce qui n'est pas explicitement refusé est autorisé       le plus simple est de tout fermer d'abord et non l'inverse       (tres bonnes docs sur le site de netfilter) http://netfilter.samba.org

heu...en pratique, je fais comment pour corriger ça ?
car en fait, ça à ete autoconfigure ( ) par rp-pppoe, et apres j'ai rajoute le ftp & ssh & les ports pour le passive ftp.
Donc si tu pouvais me dire step by step, qu'est ce que je dois taper dans le shell, car je ne connais pas bien (du tt   ) ipchains.  

si tu cherches la securite, reste pas en 2.2.19 ya un trou la dedans
 
passes en 2.2.21 si tu veux rester en 2.2 ou mieux, 2.4.18
 
si tu passes en 2.4, tu peux utiliser iptables
 
sinon pour ton prob de secu: ipchains-howto
 
tu mets les regles par defaut a drop (rien ne passe!)
 
et tu ouvres ce dont tu as besoin

ouais, j'ai dejà essaye de passer en 2.4.18, j'ai recompile, etc...enfin bon c'est une tres longue histoire mais j'avais de gros pb concernant pppd sous le 2.4.18, et ça m'a gonfle donc suis revenu sous 2.2.19.
 
bon vais voir concernant les regles par defaut de ipchains.
enfin , si tu connait qq lignes qui m'eviterait de me taper toute la doc (je sens les bonnes reflexions là...), n'hesite pas  

si je met tout en drop, et que j'ouvre qq ports comme ça:
ipchains -I input 1 -s 0/0 -d 0/0 20 -p tcp -j ACCEPT -b
ipchains -I input 1 -s 0/0 -d 0/0 21 -p tcp -j ACCEPT -b
ipchains -I input 1 -s 0/0 -d 0/0 3000:5000 -p tcp -j ACCEPT -b  
ipchains -I input 1 -s 0/0 -d 0/0 ssh -p tcp -j ACCEPT -b
 
ça devrait etre bon non ?
sinon, ça ne change rien pour le partage de connexion ? (nat ?)
 
 
 

Disconect a écrit a écrit : si je met tout en drop, et que j'ouvre qq ports comme ça: ipchains -I input 1 -s 0/0 -d 0/0 20 -p tcp -j ACCEPT -b ipchains -I input 1 -s 0/0 -d 0/0 21 -p tcp -j ACCEPT -b ipchains -I input 1 -s 0/0 -d 0/0 3000:5000 -p tcp -j ACCEPT -b   ipchains -I input 1 -s 0/0 -d 0/0 ssh -p tcp -j ACCEPT -b   ça devrait etre bon non ? sinon, ça ne change rien pour le partage de connexion ? (nat ?)

 
je connais mal(pas) ipchains
 
ca ne devrait pas changer pour le nat, par contre il faut autoriser la meme chose en output si tu comptes surfer...

hein ? faut autoriser la meme chose si je compte surfer ?  
c'est à dire ?
Sinon je viens de remarquer cette ligne
target     prot opt     source                destination           ports  
MASQ       all  ------  anywhere             anywhere              n/a  
 
 
comment je la reproduis ?
 
et comment donc je mets ce qu'il faut en OUTPUT ? et ke doit je mettre (je sais ça fait bcp de questions)

Disconect a écrit a écrit : hein ? faut autoriser la meme chose si je compte surfer ?   c'est à dire ? Sinon je viens de remarquer cette ligne target     prot opt     source                destination           ports   MASQ       all  ------  anywhere             anywhere              n/a       comment je la reproduis ?   et comment donc je mets ce qu'il faut en OUTPUT ? et ke doit je mettre (je sais ça fait bcp de questions)

 
malheureusement je peux pas t'aider plus
 
simplement, si tu comptes surfer sur ton serveur, il faut que les paquets puissent atteindre le serveur(d'ou l'utilite des chaines en output)
 
il y a aussi la solution de mettre la regle par defaut de output a accept(pas genant, pas de spyware sous linux!!)

ok si qqn à d'autres conseils etc ! enfin surtout de la pratique plz ...

comment je ferme ces ports:
111/tcp    open        sunrpc                    
515/tcp    open        printer                  
1241/tcp   open        msg                      
 ??! eskyl sont utiles ?

salut,
 
patche ton kernel ... vers 2.2.20 ou + il y a la faille ptrace sur les <= 2.2.19 ...
 
++
 
oups, je n'avais pas lu que apolon en avait fait allusion, autant pour moi !

c'est cool....je sais que y a la faille ptrace....mais bon....faudrait dejà que les gars obtiennent un compte, puis que la faille ptrace fonctionne....
 
bon sinon, personne peut me dire precisement les commandes ipchains à rentrer pour etre mieux securise qu'actuellement tout en continuant à avoir un serveur ftp, ssh, et du routage pour mon lan interne ? plz !! ça urge legerement.....
 
autrement, une question tte bete concernant pure-ftpd, j'ai creer un utilisateur (adduser machin) et je ne veux pas qu'il ai de shell, seulement qu'il puisse acceder au ftp, donc j'ai mis /bin/false dans le /etc/passwd, mais apres je ne peux plus me connecter au ftp

essaie simplement sans lui specifier de shell (tu laisses :: pour la syntaxe)

donc là, il fait style qu'il va se logguer sur le shell, mais finalement non car "Cannot execute :: No such....." ce qui est normal .
Mais par contre, je peux toujours pas me logger en ftp...donc ça revient au même

tentes le coup avec /sbin/nologin

pareil

Il faut la mini arbo pour le user si le shell est /bin/false
/bin
/bin/ls
 
/lib
/lib/[libs pour ls]
 
/etc

Pour identifier les process associés aux ports:
netstat -tunlp

ah k , mais justement je voulais eviter ça c'est quand meme bizarre....bon bah vais retourner le pb dans l'autre sens, comment je peux empecher la connection ssh à un utilisateur ? ça je pense que c'est possible assez facilement quand meme ?

tres pratique

Si ça peut aider, voilà un petit script pour une station seule :

ouais...merci...mais bon  
1) il me faut un script pour un routeur/fw
2) avec IPCHAINS et non iptables (kernel 2.2.19)
 
merci qd meme