Bonjour,  
 
J'ai un pc avec LE 2005 qui est utilisé pour faire du mail, de l'internet, skype et partager une imprimante (client xp). Ayant lu sur ce forum que plusieurs d'entre vous ont des tentatives de connexion "pirates" sur leur linux, je voudrais securisé un petit peu le mien. Rien de bien sophistique mais qiuelques trucs simples. Je peux par exemple ne pas demarrer le demon openssh puisqu'il n'est pas utilise sur ce pc ? il y a t il d'autres choses simples a faire ?
 

est ce un serveur mail (postfix,sendmail...) ou simplement une application cliente (Kmail, evolution ...) ?
 
Quid du firewall ?
Quid du serveur FTP (proftpd...) ?

Tiens on est pas vendredi
 

 
Dans cette phrase , un seul mot important  

 
C'est juste un client pour le mail, les seuls roles de serveur sont pour le partage d'une imprimante et skype (on peut considerer ca comme un serveur puisqu'il repond a des  appels d'autres skype ...)
 

 
D'accord avec toi.., d'ailleurs, comment fait on pour voire s'il y a eu de ces tentatives ?

Le firewall est-il géré par le serveur ?

Install logcheck

Finalement, j'ai enleve le demarrage du service openssh. Cela bien impossible de se connecter sur cet ordinateur ?

si tu veux être sûr à 100% qu'on ne peut pas se connecter à ton PC : déconnecte le du réseau
Plus sérieusement, as tu un firewall activé sur cette machine ou sur la connexion Internet ?
Quels sont les services que tu utilises ? Apache ? ...
 

Non je n'ai pas mis de firewall, lequel je pourrai installer ?
d'un autre cote, c'est une machine qui est utilisee seulement comme client mail, un peu d'internet et skype ..
 
Pour le service openssh non lance, cela empeche bien toute connexion distante ?

tout programme basé sur IPtables (script fait maison, shorewall...)

Les accès à distance peuvent se faire aussi par telnet, VNC...
Ensuite il est possible moyennant de solides compétences de détourner un service afin d'avoir la main (ouvrir un shell) sur le PC. Ainsi il faut que les services activés soient constamment mise à jour pour éviter les failles de sécurité.

 
Ok, je viens de regarder, il n'y a pas de demon qui s'appelle telnet ou vnc, donc ca doit etre bon pour empecher les connexions ?

tu peux faire, en root netstat -latupn pour voir les services qui sont en écoute sur ta machine.

 
Ok, ca donne ca:
 
 netstat -latupn
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name    
tcp        0      0 0.0.0.0:1024            0.0.0.0:*               LISTEN      -                    
tcp        0      0 0.0.0.0:992             0.0.0.0:*               LISTEN      4626/rpc.statd      
tcp        0      0 0.0.0.0:2049            0.0.0.0:*               LISTEN      -                    
tcp        0      0 0.0.0.0:772             0.0.0.0:*               LISTEN      5681/rpc.mountd      
tcp        0      0 127.0.0.1:10026         0.0.0.0:*               LISTEN      5958/master          
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      6049/smbd            
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      4521/portmap        
tcp        0      0 0.0.0.0:6000            0.0.0.0:*               LISTEN      5382/X              
tcp        0      0 127.0.0.1:5335          0.0.0.0:*               LISTEN      5504/mDNSResponder  
tcp        0      0 0.0.0.0:631             0.0.0.0:*               LISTEN      4716/cupsd          
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      5958/master          
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      6049/smbd            
tcp        0      0 :::6000                 :::*                    LISTEN      5382/X              
udp        0      0 0.0.0.0:1024            0.0.0.0:*                           -                    
udp        0      0 0.0.0.0:769             0.0.0.0:*                           5681/rpc.mountd      
udp        0      0 0.0.0.0:2049            0.0.0.0:*                           -                    
udp        0      0 192.168.1.11:137        0.0.0.0:*                           6065/nmbd            
udp        0      0 0.0.0.0:137             0.0.0.0:*                           6065/nmbd            
udp        0      0 192.168.1.11:138        0.0.0.0:*                           6065/nmbd            
udp        0      0 0.0.0.0:138             0.0.0.0:*                           6065/nmbd            
udp        0      0 0.0.0.0:68              0.0.0.0:*                           4462/dhclient        
udp        0      0 0.0.0.0:986             0.0.0.0:*                           4626/rpc.statd      
udp        0      0 0.0.0.0:989             0.0.0.0:*                           4626/rpc.statd      
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           5504/mDNSResponder  
udp        0      0 0.0.0.0:111             0.0.0.0:*                           4521/portmap        
udp        0      0 0.0.0.0:631             0.0.0.0:*                           4716/cupsd

Personnellement je te conseillerais, soit de fermer  les services dont tu n'as pas besoin, soit de les configurer pour ne pas écouter sur ton interfaces connecté au net ou de mettre des règles iptables pour tout fermer coté net.
 
la tu as samba (partage de fichier windows), smtp (serveur de mail), cupsd (service d'impresion), portmap qui gère les appels RPC, et X (ton serveur graphique) qui écoute sur TOUTES tes interfaces...
 
Dans tout ca, il n'y a que ton serveur mail qui est succeptible d'avoir besoin le port 25 sur le net (si tu t'en sers réellement comme serveur mail)

si il n'utilise pas NFS, il peut même carrément désactiver portmap

J'ai enleve le demon de mail qui ne me sert pas effectivement (c'etait bien master ?).
Pour le reste, je viens de réaliser que mon point d'accès wifi a un pare feu. Il fait un filtrage en entrée actuellement (il est possible de le mettre en sortie également..).
Est ce que dans l'ensemble ca ne serait pas suffisant ?
 
Autrement, pour la configuration de chaque service, ca peut se faire avec showrewall ?
 
Pour l'utilisation de NFS, je ne sais pas trop, j'utilise samba pour partager une imprimante, est ce que cela utilise NFS ?

non, NFS c'est du "partage" de fichier entre unix

shorewall est un firewall, il ne permet en aucune manière de configurer des services.
Certains services permettent une configuration fine quand aux interfaces d'écoute. SSH permet de spécifier quelles adresses utiliser par exemple.

à ce propos pourquoi j'ai ça  
tcp        0      0 *:x11                       *:*                         LISTEN      root       17860      8187/X
 
alors que X est lancé avec -nolisten tcp ?

tu le lances avec kdm ou gdm ?

J'ai enleve les services  sshd postfix  portmap nfs nfslock
 
Voila ce que ca donne maintenant :  
 netstat -latupn
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name    
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      5650/smbd            
tcp        0      0 0.0.0.0:6000            0.0.0.0:*               LISTEN      5314/X              
tcp        0      0 127.0.0.1:5335          0.0.0.0:*               LISTEN      5452/mDNSResponder  
tcp        0      0 0.0.0.0:631             0.0.0.0:*               LISTEN      4669/cupsd          
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      5650/smbd            
tcp        0      0 192.168.1.11:631        192.168.1.12:3730       ESTABLISHED 4669/cupsd          
tcp        0      0 192.168.1.11:631        192.168.1.12:3727       ESTABLISHED 4669/cupsd          
tcp        0      0 :::6000                 :::*                    LISTEN      5314/X              
udp        0      0 192.168.1.11:137        0.0.0.0:*                           5661/nmbd            
udp        0      0 0.0.0.0:137             0.0.0.0:*                           5661/nmbd            
udp        0      0 192.168.1.11:138        0.0.0.0:*                           5661/nmbd            
udp        0      0 0.0.0.0:138             0.0.0.0:*                           5661/nmbd            
udp        0      0 0.0.0.0:68              0.0.0.0:*                           4577/dhclient        
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           5452/mDNSResponder  
udp        0      0 0.0.0.0:631             0.0.0.0:*                           4669/cupsd        
 
 
Il y en a un dernier que je peux peut etre enlever, mDNSResponder ? ca a apparemment un rapport avec un service reseau qui s'appelle HOWL, quelqu'un connait ?

kdm

1. mDNSResponder = support protocol RendezVous de Apple. KDE l'utilise
 
howl = support protocol RendezVous de Apple. Gnome l'utilise.
 
 
2. mdk est livré avec un assistant qui permet de configurer un firewall.
draksec permet d'appliquer des vérification de sécu au niveaux des perms , etc ... notamment empécher les connexion root distante.
http://doc.mandrivalinux.com/Mandr [...] urity.html
 
3. concernant OpenSSH, le mieux est d'utiliser une connexion par clé avec passphrase et de désactiver la connexion distante de root.
De plus il faut désactiver le support pour la version 1 du protocol.
 
4. concernant X qui écoute, j'avais un thread sur cooker qui en parlait mais personne n'a fait attention ( "[Cooker] Latest kde ignoring "-nolisten tcp" option?" ).
GDM fonctionne correctement mais KDM aurait un pb.
http://qa.mandriva.com/show_bug.cgi?id=15759

merci Dark_Schneider.  
l'astuce du lien marche. Il semble en effet que le fichier /etc/X11/xdm/Xservers ne soit plus lu par kdm.