Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 27/09/2014, à 14:12

Compte supprimé

user nobody actif dans gdomap et dnsmasq

Bonjour,
La Faille de sécurité dans bash fait du bruit, mais si elle a été exploitée, tout est à revoir.
Évidemment on ne saurait pas faire confiance au visionnage des fichiers qu'on ouvre depuis une machine infectée, pas plus que ce que retourne lsof -i puisqu'il serait facile de modifier suffisamment le comportement d'un système infecté pour rendre indécelable toute anomalie (comme dans le cas de l'installation d'un VMBR)

Mais ce qui suit m’interpelle (à gâteau) : nobody est actif sur deux services dont gdomap censé être inactif :

http://askubuntu.com/questions/151205/what-is-gdomap-and-what-is-it-used-for a écrit :

The gdomap deamon is completely unused for most applications! I don't think any GNUstep applications use it in normal operation (ie if you haven't given them command-line options to tell them to communicate between different hosts/users). The vast majority of DO connections are private to a single user on a single machine and use message ports (implemented as unix domain sockets or as message queues on mswindows) and they don't need/use a namesperver as name information is written to the local filesystem (or windows registry).

sudo lsof -i
COMMAND    PID   USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
rpcbind    642   root    6u  IPv4   6789      0t0  UDP *:sunrpc 
rpcbind    642   root    7u  IPv4   6790      0t0  UDP *:814 
rpcbind    642   root    8u  IPv4   6791      0t0  TCP *:sunrpc (LISTEN)
rpcbind    642   root    9u  IPv6   6792      0t0  UDP *:sunrpc 
rpcbind    642   root   10u  IPv6   6793      0t0  UDP *:814 
rpcbind    642   root   11u  IPv6   6794      0t0  TCP *:sunrpc (LISTEN)
rpc.statd  655  statd    4w  IPv4   7878      0t0  UDP localhost:831 
rpc.statd  655  statd    7u  IPv4   7883      0t0  UDP *:42734 
rpc.statd  655  statd    8u  IPv4   7886      0t0  TCP *:54051 (LISTEN)
rpc.statd  655  statd    9u  IPv6   7889      0t0  UDP *:53420 
rpc.statd  655  statd   10u  IPv6   7892      0t0  TCP *:51602 (LISTEN)
avahi-dae  780  avahi   13u  IPv4   6981      0t0  UDP *:mdns 
avahi-dae  780  avahi   14u  IPv6   6982      0t0  UDP *:mdns 
avahi-dae  780  avahi   15u  IPv4   6983      0t0  UDP *:51276 
avahi-dae  780  avahi   16u  IPv6   6984      0t0  UDP *:52217 
cupsd      832   root    9u  IPv6  98309      0t0  TCP ip6-localhost:ipp (LISTEN)
cupsd      832   root   10u  IPv4  98310      0t0  TCP localhost:ipp (LISTEN)
gdomap    1282 nobody    3u  IPv4   9034      0t0  UDP *:gdomap 
gdomap    1282 nobody    4u  IPv4   9035      0t0  TCP *:gdomap (LISTEN)
dhclient  1747   root    6u  IPv4  11639      0t0  UDP *:bootpc 
dnsmasq   1876 nobody    4w  IPv4  10828      0t0  UDP localhost:domain 
dnsmasq   1876 nobody    5u  IPv4  10829      0t0  TCP localhost:domain (LISTEN)

man lsof -i

  -i [i]   This option selects the listing of files any of whose Internet address matches the address specified in i.  If no address is specified, this option selects the listing of all Internet and x.25
                (HP-UX) network files.

                If  -i4  or  -i6  is specified with no following address, only files of the indicated IP version, IPv4 or IPv6, are displayed.  (An IPv6 specification may be used only if the dialects supports
                IPv6, as indicated by ``[46]'' and ``IPv[46]'' in lsof's -h or -?  output.)  Sequentially specifying -i4, followed by -i6 is the same as specifying -i, and vice-versa.  Specifying -i4, or  -i6
                after -i is the same as specifying -i4 or -i6 by itself.

                Multiple  addresses  (up  to  a limit of 100) may be specified with multiple -i options.  (A port number or service name range is counted as one address.)  They are joined in a single ORed set
                before participating in AND option selection.

                An Internet address is specified in the form (Items in square brackets are optional.):

                [46][protocol][@hostname|hostaddr][:service|port]

                where:
                     46 specifies the IP version, IPv4 or IPv6
                          that applies to the following address.
                          '6' may be be specified only if the UNIX
                          dialect supports IPv6.  If neither '4' nor
                          '6' is specified, the following address
                          applies to all IP versions.
                     protocol is a protocol name - TCP, UDP
                     hostname is an Internet host name.  Unless a
                          specific IP version is specified, open
                          network files associated with host names
                          of all versions will be selected.
                     hostaddr is a numeric Internet IPv4 address in
                          dot form; or an IPv6 numeric address in
                          colon form, enclosed in brackets, if the
                          UNIX dialect supports IPv6.  When an IP
                          version is selected, only its numeric
                          addresses may be specified.
                     service is an /etc/services name - e.g., smtp -
                          or a list of them.
                     port is a port number, or a list of them.

                IPv6 options may be used only if the UNIX dialect supports IPv6.  To see if the dialect supports IPv6, run lsof and specify the -h or -?  (help) option.  If the displayed description of the -i
                option contains ``[46]'' and ``IPv[46]'', IPv6 is supported.

                IPv4 host names and addresses may not be specified if network file selection is limited to IPv6 with -i 6.  IPv6 host names and addresses may not be specified if network file selection is lim‐
                ited to IPv4 with -i 4.  When an open IPv4 network file's address is mapped in an IPv6 address, the open file's type will be IPv6, not IPv4, and its display will be selected by '6', not '4'.

                At least one address component - 4, 6, protocol, ,IR hostname , hostaddr, or service - must be supplied.  The `@' character, leading the host specification, is always required; as is the  `:',
                leading the port specification.  Specify either hostname or hostaddr.  Specify either service name list or port number list.  If a service name list is specified, the protocol may also need to
                be specified if the TCP, UDP and UDPLITE port numbers for the service name are different.  Use any case - lower or upper - for protocol.

                Service names and port numbers may be combined in a list whose entries are separated by commas and whose numeric range entries are separated by minus signs.  There may be no  embedded  spaces,
                and all service names must belong to the specified protocol.  Since service names may contain embedded minus signs, the starting entry of a range can't be a service name; it can be a port num‐
                ber, however.

                Here are some sample addresses:

                     -i6 - IPv6 only
                     TCP:25 - TCP and port 25
                     @1.2.3.4 - Internet IPv4 host address 1.2.3.4
                     @[3ffe:1ebc::1]:1234 - Internet IPv6 host address
                          3ffe:1ebc::1, port 1234
                     UDP:who - UDP who service port
                     TCP@lsof.itap:513 - TCP, port 513 and host name lsof.itap
                     tcp@foo:1-10,smtp,99 - TCP, ports 1 through 10,
                          service name smtp, port 99, host name foo
                     tcp@bar:1-smtp - TCP, ports 1 through smtp, host bar
                     :time - either TCP, UDP or UDPLITE time service port

#2 Le 27/09/2014, à 14:32

maxire

Re : user nobody actif dans gdomap et dnsmasq

Bonjour,

Il ne faut pas voir le MAL partout, dnsmasq démarre en mode root puis bascule en utilisateur normal, nobody est l'utilisateur par défaut.
Extrait de la page man de dnsmasq:

 -u, --user=<username>
              Specify the userid to which dnsmasq will change after startup. Dnsmasq must normally be started as root, but it will drop root privileges  after  startup  by
              changing id to another user. Normally this user is "nobody" but that can be over-ridden with this switch.

Sous Archlinux j'ai ceci:

dnsmasq   1315         dnsmasq    4u  IPv4 396044      0t0  UDP *:bootps 
dnsmasq   1315         dnsmasq    6u  IPv4 396047      0t0  UDP *:domain 
dnsmasq   1315         dnsmasq    7u  IPv4 396048      0t0  TCP *:domain (LISTEN)
dnsmasq   1315         dnsmasq    8u  IPv4 396049      0t0  UDP *:tftp 
dnsmasq   1315         dnsmasq    9u  IPv6 396050      0t0  UDP *:domain 
dnsmasq   1315         dnsmasq   10u  IPv6 396051      0t0  TCP *:domain (LISTEN)
dnsmasq   1315         dnsmasq   11u  IPv6 396052      0t0  UDP *:tftp 

L'utilisateur est dnsmasq ce qui est cohérent avec ceci:

# systemctl status dnsmasq
● dnsmasq.service - A lightweight DHCP and caching DNS server
   Loaded: loaded (/usr/lib/systemd/system/dnsmasq.service; disabled)
   Active: active (running) since sam. 2014-09-27 15:23:17 CEST; 6min ago
     Docs: man:dnsmasq(8)
  Process: 1313 ExecStartPre=/usr/bin/dnsmasq --test (code=exited, status=0/SUCCESS)
 Main PID: 1315 (dnsmasq)
   CGroup: /system.slice/dnsmasq.service
           └─1315 /usr/bin/dnsmasq -k --enable-dbus --user=dnsmasq --pid-file

Il y a de grandes chances que ce soit le même principe d'exécution pour gdomap.


Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail

Hors ligne

#3 Le 27/09/2014, à 14:56

Compte supprimé

Re : user nobody actif dans gdomap et dnsmasq

Merci maxire. Malheureusement il n'y a pas de systemd ou de systemctl disponible pour ma version d'Ubunrtu.

Maintenant, ma remarque n'est pas si déplacée, et plutôt justifiée et je ne poste pas au hasard dans la section sécurité. Il suffit de parcourir les liens relatant des VMBRs, pour le principe.
Quant à gdomap, il n'est pas censé fonctionner si j'ai bien traduit ce que j'ai lu, ce qui est incertain, car en anglais.

Et je pense que rendre furtifs des programmes sur un système infecté n'est pas bien compliqué pour certaines gens.

édit : puis si je cherchais la sécurité je serais sous *BSD, mais j'aimerais juste faire de la musique MAO sans perdre mon travail (j'ai les sauvegardes, RAID 1 et 5 … wink )
édit 2 : ça a déjà été assez lourd lors du passage de 10.04 à 12.04 et de la perte du RAID 10 puisqu' Ubuntu n'avait pas prévu que le boot grossirait et qu'on ne pourrait pas cumuler LVM et RAID … (aujourd'hui résolu)

Dernière modification par Compte supprimé (Le 27/09/2014, à 15:10)

#4 Le 27/09/2014, à 15:25

maxire

Re : user nobody actif dans gdomap et dnsmasq

L_d_v_c@ a écrit :

Quant à gdomap, il n'est pas censé fonctionner si j'ai bien traduit ce que j'ai lu, ce qui est incertain, car en anglais

Mauvaise traduction, il fallait plutôt lire «gdomap est complètement inutilisé par la plupart des applications», ce qui est différent.
Je pense que ce service est un vieux truc que tu traînes depuis des années, essaies de l'enlever, si des règles de dépendances exigent ce paquet tu auras un message d'avertissement.
Tu peux également arrêter le service dans un premier temps et regarder ce qui se passe.

C'est vrai que systemd est un plus pour gérer les services (entre autres) comparé à ce que propose Ubuntu.


Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail

Hors ligne

#5 Le 27/01/2015, à 17:41

Compte supprimé

Re : user nobody actif dans gdomap et dnsmasq

Bonjour,
Nouvelles installations … mêmes ennuis.

$ sudo /etc/init.d/dnsmasq restart
sudo: /etc/init.d/dnsmasq: command not found
$ ps -ef|grep dnsmasq
nobody    1170   803  0 12:55 ?        00:00:00 /usr/sbin/dnsmasq --no-resolv --keep-in-foreground --no-hosts --bind-interfaces --pid-file=/run/sendsigs.omit.d/network-manager.dnsmasq.pid --listen-address=127.0.1.1 --conf-file=/var/run/NetworkManager/dnsmasq.conf --cache-size=0 --proxy-dnssec --enable-dbus=org.freedesktop.NetworkManager.dnsmasq --conf-dir=/etc/NetworkManager/dnsmasq.d
ludovic      5227  2993  0 17:34 pts/5    00:00:00 grep --colour=auto dnsmasq
$ sudo apt-get purge dnsmasq
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances        
Lecture des informations d'état... Fait
Package 'dnsmasq' is not installed, so not removed
0 mis à jour, 0 nouvellement installés, 0 à enlever et 4 non mis à jour.
$ sudo /etc/init.d/dns-clean restart
$

#6 Le 28/01/2015, à 11:29

Compte supprimé

Re : user nobody actif dans gdomap et dnsmasq

Les choses s'améliorent depuis que l'informaticien m'a fait faire sudo rm /usr/sbin/dnsmasq et redémarré l'ordinateur.

#7 Le 30/01/2015, à 06:22

robindesbois

Re : user nobody actif dans gdomap et dnsmasq

Tcho ! Quelqu'un peut m'expliquer en français ce que c'est que ce gdomap svp ??

Hors ligne