Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 26/05/2010, à 02:25

kemo006

Petites questions sur la sécurité

Bonjour à toutes et à tous !

Jusqu'ici, tout va bien avec la dernière version en date d'Ubuntu smile C'est un vrai plaisir ! Mais il y a deux points sur la sécurité qui me chagrinent.

Pour commencer, je me suis renseigné sur le fonctionnement du pare-feu intégré et j'ai décidé de désactiver UFW pour laisser travailler IpTables en solo avec les règles de bases (tout ouvert). Est-ce une bonne décision? L'ouverture n'est-elle pas synonyme d'attaques potentielles?

Deuxième point, quand Synaptic me demande mon de passe à sa première ouverture dans la session. Rien à signaler. Mais quand je ferme Synaptic et que j'y retourne, monsieur n'a toujours pas rendu les clefs de root. La porte reste grande ouverte. Tout d'abord, je suis curieux, est-ce qu'un intru de l'extérieur (Internet) peut se servir de Synaptic quand il est ouvert (avec les droits root) pour mettre à sac le système? Ensuite, pourquoi Synaptic ne se décide pas à rendre la clef à chaque fermeture de l'application ?

Si c'est normal, n'existe-t-il pas un applet ou une commande shell pour abandonner tous les droits root pour le reste de la session jusqu'à la prochaine demande des droits?

Je vous remercie d'avance smile
Kemo

Hors ligne

#2 Le 26/05/2010, à 02:32

pierricpao

Re : Petites questions sur la sécurité

bonsoir,
Si je ne m'abuse, lorsque tu prends les droits superutilisateur, une icône apparait dans la zone de notification. elle te permet de mettre fin à ce privilège que , normalement, tu conserve 15 mn par défaut


Le savoir ne vaut que s'il est partagé..
      « promouvoir et défendre le logiciel libre » - http://www.april.org
« Certaines questions demandent sept millions et demi d'années de réflexion. D'autres demandent simplement Ubuntu. » Olive

Hors ligne

#3 Le 26/05/2010, à 02:36

kemo006

Re : Petites questions sur la sécurité

Avant, je remarquais cet icone (une clef), mais il n'apparait plus dans le tableau de bord.

Hors ligne

#4 Le 26/05/2010, à 07:06

Hoper

Re : Petites questions sur la sécurité

Est-ce une bonne décision?

Oui

est-ce qu'un intru de l'extérieur (Internet) peut se servir de Synaptic quand il est ouvert (avec les droits root) pour mettre à sac le système?

Non

Ensuite, pourquoi Synaptic ne se décide pas à rendre la clef à chaque fermeture de l'application ?

Afin de ne pas t'obliger a rentrer de nouveau ton mot de passe 5 minutes seulement après l'avoir déjà rentré une premiere fois. (l'autorisation reste valable 5 ou 10 minutes je ne sais plus)

Si c'est normal, n'existe-t-il pas un applet ou une commande shell pour abandonner tous les droits root pour le reste de la session jusqu'à la prochaine demande des droits?

Oui, il existe une commande, mais j'avoue l'avoir un peu oubliée hmm


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#5 Le 26/05/2010, à 09:34

Hoper

Re : Petites questions sur la sécurité

il suffit qu'un spécialiste connaissant bien linux, ton adresse ip,

N'importe quoi. Firewall ou pas, un port fermé est fermé. Sans même parler de la box internet qui stoppera de toute façon toute connexion entrante.
Allez, trouve moi un "spécialiste connaissant bien linux", mon adresse ip (fixe) est :82.246.25.88

Tu me dira ce qu'il aura réussit à faire avec ça.


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#6 Le 26/05/2010, à 10:06

Hoper

Re : Petites questions sur la sécurité

si tu as ces lignes comme ci dessous, je maintiens et le redis, ta maison est grande ouverte,
(si la box n'utilise pas de filtres)

Mais tu comrpend rien !
Ce n'est pas parce que tu n'a pas de firewall que ta maison est "ouverte". Si la porte est fermée, elle est fermée. Essaye de faire :
telnet localhost 40000
(j'ai pris 40000 au hasard) Tu verra bien que le port est fermé est que ca ne fonctionera pas. Un port n'est pas "ouvert" par défaut, il est "fermé". Quand aux "filtres" de la box, c'est du grand n'importe quoi. Meme en activant aucune sécurité particulière, aucune connexion ne pourra "franchir" la box, tout simplement parce que sans redirection NAT, la box ne sait pas quoi faire des connexions entrantes. Raisons pour laquelle le moindre logiciel de P2P nécéssite d'aller effectivement modifier la configuration de son routeur.

Bref, avant de conseiller tout et n'importe quoi, se renseigner un peu ne ferait pas de mal.


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#7 Le 26/05/2010, à 10:13

grandtoubab

Re : Petites questions sur la sécurité

@ kemo006
tu peux toujours tester ta sécurité
http://www.linux-sec.net/
http://security.symantec.com/sscv6/home.asp?langid=ie&venid=sym&plfid=23&pkj=ZUSCBXUQIZQVMUYTACD

Dernière modification par grandtoubab (Le 26/05/2010, à 10:17)


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne

#8 Le 26/05/2010, à 11:51

Hoper

Re : Petites questions sur la sécurité

Alors expliques moi pourquoi que lorsque les programmes nécessitant un port d d'ouvert fonctionnent très bien sans leur spécifier QUOIQUE CE SOIT
meme sans comprendre cela, on le constate, une simple déduction de bon sens.

Rien compris.
Si tu lance un serveur, quel qu'il soit, il va évidement pouvoir ouvrir un port en écoute. Et ?


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#9 Le 26/05/2010, à 12:42

kemo006

Re : Petites questions sur la sécurité

Merci pour toutes ces réponses ! Me voilà rassuré au sujet de Synaptic.
Mais en ce qui concerne la configuration de Iptables (sachez que les tests de sécurité en ligne ne détectent aucun port ouvert, mais est-ce fiable?), je ne vous cache que j'hésite quant aux paramètres à appliquer. Maintenant que UFW est désactivé, est-ce que mon interface GUFW est toujours d'actualité? Elle a besoin de UFW pour appliquer les règles ou elles s'appliquent directement à Iptables?

Merci encore !

Dernière modification par kemo006 (Le 26/05/2010, à 12:42)

Hors ligne

#10 Le 26/05/2010, à 12:51

Hoper

Re : Petites questions sur la sécurité

hé justement , il ne faut pas qu'il puisse ouvrir un port sans qu'on l ai autorisé !

Mais autorisé à quoi bordel ? il est ou le problème ? Réfléchie 5 minutes bon sang. Imagine que je t'envoie un cheval de troie, et que tu l'execute (sans être admin donc). A ton avis, j'ai plutot intéret a faire quoi ? "ouvrir" un port arbitraire, que je ne pourrai jamais atteindre à cause de ton routeur même si aucun iptable n'est configuré sur ta machine ? ou plutot à établir directement une connexion SORTANTE, qui elle passera à tous les coups si le la fait sortir sur le 80 par exemple ?

Ton iptable te protège contre QUE DALLE. il est tout à fait normal qu'un processus puisse ouvrir un port, cela ne représente aucun dangers. N'importe quelle connexion sortante est potentiellement bien plus dangereuse (et tu ne l'arrêtera  pas avec iptables).

kemo006 : tu n'a pas besoin d'iptables ou d'aucun autre fw. Après tu fais ce que tu veux, si tu veux perdre ton temps avec ça (ou tout simplement apprendre à t'en servir) pas de soucis. Mais ne crois pas que ca changera quoi que ce soit à ton niveau de sécurité sur la machine. Un fw logiciel, pour un particulier sous linux, n'a aucun intérêt.


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#11 Le 26/05/2010, à 13:56

Hoper

Re : Petites questions sur la sécurité

un parre feu est nécéssaire, y compris pour les connections sortantes.

Débrancher la prise réseau, ca ce sera efficace. Mais ton pare feu, tu va le configurer comment ? Si il ne laisse pas sortir les requêtes sur le port 80, il va avoir l'air malin devant son navigateur... Or, rien ne garanti qu'une connexion sortante fera bien du http et pas autre chose. Pour ça il faut un fw qui travaille au niveau protocolaire. Pas du tout ce que fait iptable quoi.

Bref, ton "parre feu nécéssaire", il sert à rien, point.


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#12 Le 26/05/2010, à 14:16

kemo006

Re : Petites questions sur la sécurité

D'accord Hoper, si je comprends bien, iptables et ufw sont installés mais ne servent à rien pour un particulier? (seulement serveur?) J'ai eu le temps de me renseigner sur le pare-feu d'Ubuntu et de Linux en général et à priori c'est NetFilter qui gère la réception et l'émission des paquets via l'interface réseau.

1) Pour éclaircir ce sujet, si je me fis à tes propos, Netfilter n'aurait besoin d'aucune assitance, étant intégré au noyau, pour s'occuper en arrière plan de notre sécurité, alors comment NetFilter s'y prend pour reconnaître une menace d'une requête anodine ? Quelle est sa base de règles par défaut? Et est-ce qu'il est possible, par mégarde, de modifier les règles de NetFilter ou il est indispensable de compiler à nouveau les sources? Auquel cas, ce serait rassurant.


2) N'est-ce pas Iptables (ou UFW pour se faciliter la vie si j'en crois la documentation) qui attribue les règles que NetFilter doit suivre?

Hors ligne

#13 Le 26/05/2010, à 14:50

Hoper

Re : Petites questions sur la sécurité

si je comprends bien, iptables et ufw sont installés mais ne servent à rien pour un particulier?

De base ils ne servent surtout à rien tout court puisque sans configuration spécifiques, ils ne font rien du tout. La plupart des auto-radios ont une fonction de limitation sonore (ASL ou équivalent). Mais comme tout le monde s'en fiche et que personne n'appuie sur le bouton, cette fonction est présente, mais ne sert à rien.

alors comment NetFilter s'y prend pour reconnaitre une menace d'une requête anodine ?

Sans configuration, netfilter ne fait rien du tout. Il est présent au cas ou tu ai besoin de lui, c'est tout. Tu viens d'ailleurs de comprendre le problème. Il est totalement impossible de savoir si une trame réseau est légitime ou non, dangereuse ou non. Les firewalls avaient une utilité à une certaine époque... Lorsque les stacks IP étaient tellement mauvaises (celle de windows en particulier !!!) qu'il suffisait d'une trame mal formée pour faire crasher l'OS (cf le fameux "ping of death" et les écrans bleus à répétitions sous win95 et 98.
Depuis, même microsoft à durci sa pile IP, et il n'y a pas grand chose à craindre de ce coté la. Bref, l'OS lui même est assez grand pour se défendre tout seul lorsque il s'agit simplement de trames forgées n'importe comment.

Pour le reste... lorsque la trame IP est parfaitement valide... qui peut bien savoir ce qu'elle contient, et si c'est dangereux ou pas... Personne. Enfin... si, le niveau 7 (applicatif). Donc soit tu commence à installer des firewall applicatifs (bonjour le bordel à configurer, les ressources nécéssaires etc) soit... Bein soit rien. Tu met pas de firewall et c'est tout. Surtout que, encore une fois, nous avons maintenant tous un routeur chez nous, cette fameuse box adsl. Ce n'était pas le cas il y a quelques années ou toutes les requêtes, scans de port etc arrivaient directement sur notre PC. Maintenant tout est stoppé au niveau de la box. Voila pourquoi un firewall ne sert plus à rien. Seulement il est dans le noyau, et il peut servir à plein de choses... routage avancé, translation de port etc... donc ce serait idiot de le virer, autant le garder pour ceux qui aurait un besoin spécifique. Mais pour le commun des mortels, ça sert à rien.

2) N'est-ce pas Iptables (ou UFW pour se faciliter la vie si j'en crois la documentation) qui attribue les règles que NetFilter doit suivre?

C'est bien comme ça que je vois les choses oui.


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#14 Le 26/05/2010, à 15:00

kemo006

Re : Petites questions sur la sécurité

Merci pour toutes ces précisions. Voilà pour information (mais tu t'en doutes) les règles du pare-feu :

~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Une dernière question pour la route. Ma freebox a son mode routeur activé pour gérer le réseau familial. Mais je me rends compte que n'importe quelle application émet (jusque là aucun problème) et reçoit (!) les paquets. A l'instar d'un logiciel de partage comme Transmission, il reçoit sans problème avec les paramètres par défaut alors que la freebox n'a aucune règle au sujet du port que l'application emprunte.

Dois-je en déduire que le routeur laisse faire tant que c'est une demande de l'utilisateur (le cas d'un échange de fichier ou la navigation sur l'Internet via un navigateur) mais bloque quand la demande vient de l'extérieur?

(C'est peut-être bête, mais j'ose la question smile)

Hors ligne

#15 Le 26/05/2010, à 16:06

Hoper

Re : Petites questions sur la sécurité

Dois-je en déduire que le routeur laisse faire tant que c'est une demande de l'utilisateur (le cas d'un échange de fichier ou la navigation sur l'Internet via un navigateur) mais bloque quand la demande vient de l'extérieur?

Oui. Tant que la connexion est initié par ta machine, ca passe. Autrement dit, tu peux aller télécharger un fichier. ou tu peux te connecter à une machine pour lui permettre de prendre un fichier chez toi (cas de transmission si tu es en seed). Sauf que ca fonctionne beaucoup moins bien, car il faut alors que tu sache que toto voudrait le fichier, et comme il ne peut pas te le dire directement, il passe par le tracker etc. (enfin je suppose). tracker qui te préviens, et c'est toi qui initie la connexion... a condition de pouvoir !!! Car si toto est dans le meme cas que toi, alors c'est mort. Bref, pour le P2P, il est toujours beaucoup plus efficace d'avoir au moins un port authorisé en entrée.


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#16 Le 26/05/2010, à 16:15

kemo006

Re : Petites questions sur la sécurité

D'accord. Donc, le seul moyen pour un pirate d'accéder à ma machine, ce serait que j'exécute un serveur sur mon ordinateur qui communiquerait avec son poste de travail pour lui ouvrir un port (il faut le vouloir ou faire confiance à tour de bras) En tout cas, ça explique (les résultats parfaits sur les sites de protection). Sincèrement, merci pour toutes ces explications et votre motivation au service de la communauté Ubuntu.

Dernière modification par kemo006 (Le 26/05/2010, à 16:18)

Hors ligne

#17 Le 27/05/2010, à 07:07

Hoper

Re : Petites questions sur la sécurité

ce serait que j'exécute un serveur sur mon ordinateur qui communiquerait avec son poste de travail pour lui ouvrir un port

Voila. Tant que tu n'utilise que des logiciels téléchargés via les dépots, il y a très, très, très peu de chance que ça arrive un jour. Après si tu télécharge des trucs sur des sites sans protection (je parle des signatures numériques etc), sans connaitre les devs etc....  La oui ça pourrait arriver, mais le firewall ne servirait à rien.


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#18 Le 27/05/2010, à 08:12

psychederic

Re : Petites questions sur la sécurité

Si j'avais du temps je lancerai un projet de firewall, comme je l'ai pas je donne l'idée quand même : vous prenez Gufw, vous prenez fwsnort (quitte à récrire dans un autre langage) ( vous prenez peut être aussi greensql en construisant une architecture modulaire ) , vous prenez enfin iptables-persistent 

Vous crée un site communautaire , avec la possibilité de partager ces filtres ( et librement ), avec la possibilité de sélectionner ces listes qui s'intégreront et se mettront à jour .

Sans oublier une interface qui en jette ...

Ca serait pour la version 1.0

La version 2.0 devrait permettre le scan et la détection d'intrusion/prévention réseau avec des algorithme heuristiques (comme les antivirus mais pour le contenu des paquets ...) : encore une fois je n'invente rien, ca existe : c'est juste que ce n'est pas encore arrivé dans le logiciel libre.

Et là ca sera un sécurité simple et imparable ( pas parfaite mais disons aussi parfaite sur le principe que le noyau linux au niveau sécurité ) : et populaire.

Dernière modification par psychederic (Le 27/05/2010, à 09:28)


Le monde du libre. Ubuntu :Ca rame ? | Installer un logiciel ? Avec Synaptic- Ubuntu Tweak. Msn ?

Hors ligne

#19 Le 27/05/2010, à 16:22

kemo006

Re : Petites questions sur la sécurité

Merci merci pour toutes vos réponses. Les avis divergeants sont les bienvenus ! Autre chose, au lieu de créer un autre sujet, je préfère poser ma question ici. Comme vous avez pu le constater, je m'intéresse de près à la sécurité sous Linux. C'est pourquoi j'ai lu la partie commandes dangereuses avec ses scripts Shell qui touchent aux droits ou qui détruisent les fichiers systèmes (sans oublier la roulette russe qui nous donne une chance sur 6 de ne pas avoir à reinstaller la distribution).

Ma question est très simple : dans la documentation, les scripts ne sont jamais précédés par "sudo" (indispensable pour avoir les droits requis). Je précise que je n'ai pas essayé les scripts, mais je me doute que sans la commande d'authentification (sudo), le script renverra une erreur, je me trompe?

PS : ou plus simplement, que se passe-t-il si j'exécute un script shell sans les droits root?

Hors ligne

#20 Le 28/05/2010, à 00:23

Dam_dSJ

Re : Petites questions sur la sécurité

Pour revenir à l'histoire du pare-feu, il y a quand même quelque points où je ne suis pas tout à fait d'accord. Voilà ma vision des choses :
  -Si tes machines restent tout le temps derrière ta box internet, il n'y a aucun danger car toutes les box actuelles bloquent les connections entrantes (sauf si c'est toi qui a initié la connection avec l'autre ordinateur ^^).
  -Après, si tu as un portable et que tu vas sur un réseau avec d'autres machines reliées entre elles ( et n'ont "aucun parefeu entre elles", il n'y a pas de vpn, ...), comme par exemple dans un réseau universitaire, là il peut y avoir un problème de sécurité POTENTIEL. En effet pour qu'un port d'un PC soit ouvert, il faut qu'un logiciel ouvre ce port. Seulement TOUT les logiciels possèdent des failles (plus ou moins suivant les logiciels), et quelqu'un peut envoyer des paquets spécialement conçu sur le port qu'un logiciel utilise pour exploiter une faille. Grâce à cela il peut exécuter du code sur ta machine. Dans ce cas cela peut être dangereux. Donc une des protections qui pourrait être mis en place c'est de refuser (à l'aide d'un firewall) les connections entrantes sauf si c'est toi qui a établit la connection en premier. À part si tu as un serveur qui tourne sur ta machine, il n'y a aucune raison que des connections soient initiée par d'autres machines.
  -Enfin pour les connections sortantes, je ne voit pas l'utilité de les bloquer (sur un ordinateur personnel), à part si tu installe des logiciels douteux, mais là c'est toi qui l'aura cherché ^^ (les logiciels dans les dépôts officiels ne sont pas à craindre).

Pour le 2ème cas, il y a un bémol à mettre : la part de marché de linux dans les PC domestiques est d'environ 1%, en plus cela inclut toutes les distributions qui existent dont les logiciels de bases ne sont pas forcément les mêmes (donc les failles non plus). De plus les versions de ces logiciels diffèrent aussi suivant la distro, ce qui fait que les failles exploitables (là aussi) ne sont pas forcément les mêmes. Tout cela pour dire que si quelqu'un veut exploiter une faille sur ton OS, il atteindrait une partie négligeable des personnes sur le réseau. Personnellement, je ne ferait pas le tour du monde à pied et à la nage pour gagner un cookie big_smile. Il faut aussi tenir compte du fait que sous linux il y a le système de dépôts qui fait que quand une faille est trouvée et corrigée, ton PC est mis à jour et cela pour TOUT les logiciels (ce qui n'est pas le cas sous windows). Toutes les mises à jour que tu fais sur ubuntu (à part les mise à jour majeures), sont des corrections de bogues ou de faille (si je ne me trompe pas).

En bref : À part si t'es un parano, tu peux laisser ton firewall entièrement ouvert, sans crainte.

@Hoper: Si tu me répond, merci de ne pas t'énerver sur moi comme tu l'as fait sur certains.



En ce qui concerne l'exécution des script shell sans les droits root, tu ne risque pas de détruire ton système, il t'en empêchera. Par contre ton script peut accéder à toutes tes données personnelles (tes périphériques de stockages et tout ton home en incluant les fichiers de config de tes logiciels qui sont cachés dans la racine de ton home), les modifier et/ou les supprimer. Et cela peut être TRÈS chiant ...
Par exemple la commande permettant de supprimer tout tes fichiers à partir de la racine, donnera des messages d'erreur pour tout les fichier dans /bin, /dev, /etc, ... mais dégagera tout ton home

Dernière modification par Dam_dSJ (Le 28/05/2010, à 00:35)

Hors ligne

#21 Le 28/05/2010, à 00:58

kemo006

Re : Petites questions sur la sécurité

En voilà une réponse édifiante.  Bien sûr, je n'héberge aucune donnée sensible, alors j'opte pour l'ouverture totale (ma freebox se charge du reste, les tests le prouvent). Mais si un jour il m'arrive de sortir mon portable, je bloquerais le traffic rentrant en ne laissant ouvert que les ports indispensables (80 pour le web principalement).

Merci pour toutes ces petites précisions. C'est un plaisir d'en apprendre un peu plus tous les jours sur cet OS.

PS : Dans ton énumération des points forts de Linux, tu oublies l'accès limité aux droits root. Notre HOME ne sera pas épargné par un quelconque virus, mais le reste n'aura pas une égratinure. On ne peut pas en dire autant d'autres systèmes d'exploitation...

Hors ligne

#22 Le 28/05/2010, à 02:44

Dam_dSJ

Re : Petites questions sur la sécurité

Je sais pas si c'est bien si c'est ce que tu voulais dire mais l'histoire de laisser les ports ouverts c'est comme si tu ne faisait rien (cela a été mentionné avant). Si tu veux encore mieux protéger (bien que cela ne soit pas forcément utile), il faut bloquer tout le trafic entrant sauf celui d'une connexion déjà établie avec donc les règles iptables suivantes (si tu as envie de "jouer" avec) :
#iptables -F
#iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -P INPUT DROP
#iptables -P OUTPUT ACCEPT

PS: si tu as des problèmes avec les règles que tu as faites et que tu veux tout réinitialiser tu as le système D : le reboot ^^. Mais si tu veux utiliser iptables, regarde la doc.

En ce qui concerne l'accès limité avec le super utilisateur, il y a l'équivalent sous windows avec les comptes admins, mais les installations par défaut font de l'utilisateur de base l'admin, ce qui est une pure connerie. Après on ne peut pas dire que l'on est pas à l'abri de tout, j'ai vu (il y a un moment je crois) une news sur une faille dans un logiciel (ou même peut être dans le noyau) qui permettait une élévation de privilège. Certes, il fallait avoir un compte pour pouvoir se connecter sur la machine, mais si on en avait un, il suffisait d'exécuter un bout de code pour devenir root. Tout cela pour dire que l'on est pas à l'abri. C'est pas pour cela qu'il faut avoir peur, ne plus se connecter au net et rester enfermé chez soi big_smile

Hors ligne

#23 Le 28/05/2010, à 12:19

Hoper

Re : Petites questions sur la sécurité

@Hoper: Si tu me répond, merci de ne pas t'énerver sur moi comme tu l'as fait sur certains.

La au moins j'ai bien rigolé smile Et puis j'ai aucune raison de m'énerver, puisque globalement tu ne dis que des choses fort juste. Je suis simplement sceptique sur l'idée de bloquer "tout traffic entrant sauf si on est l'initiateur". En effet, si un port est en écoute, avec une application qui, c'est vrai, peut éventuellement contenir une faille (faille qui serait très vite corrigée par les mises à jour mais c'est pas le sujet), c'est bien que cette application est utile non ? Si tu installe un serveur ssh sur ta machine, tu ouvre le port 22 mais tu le fais en connaissance de cause, parce que tu veux pouvoir te connecter sur la machine... Si tu installe un serveur NFS, tu ouvre des ports de la même manière parce que tu veux pouvoir monter des partages etc, etc.

Bref, si tu bloque tout trafic entrant, tu rend impossible l'usage de toutes les fonctionnalités que tu as pourtant toi même voulu installer... Plutôt curieux comme comportement non ? smile

Bref, tu semble supposer que linux a, comme windows, une configuration par défaut avec tout un tas de ports ouverts et dont personne ne connais l'utilité. Détrompe toi. Ubuntu ne lance aucun serveur par défaut, et n'ouvre donc aucun ports dérriere ton dos... (je viens de faire le test sur une 8.04 serveur, tous les ports ouverts sont des ports dont J'AI demandé l'ouverture).


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#24 Le 28/05/2010, à 13:28

kemo006

Re : Petites questions sur la sécurité

Dam_dSJ a écrit :

Je sais pas si c'est bien si c'est ce que tu voulais dire mais l'histoire de laisser les ports ouverts c'est comme si tu ne faisait rien

Quoi qu'il arrive, ma box bloque tous les paquets non-souhaités. Mais Hoper, il me reste un détail qui me turlupine. On est bien d'accord, si je lance une commande shell pour vérifier les règles de Iptables, tout indique que c'est ouvert (logique, aucune règle). Mais cela n'a aucune influence sur les règles incorporées dans le pare-feu inclu dans le noyau (qui n'accepte de connexions à notre poste de travail que si l'utilisateur l'a demandé). C'est juste?

En réalité, on peut dire qu'Iptables est une interface textuelle qui à la manière d'une interface graphique (gufw, etc.) peut fixer de nouvelles règles si le besoin se fait sentir.

Hors ligne

#25 Le 28/05/2010, à 13:37

Hoper

Re : Petites questions sur la sécurité

Mais cela n'a aucune influence sur les règles incorporées dans le pare-feu inclu dans le noyau (qui n'accepte de connexions à notre poste de travail que si l'utilisateur l'a demandé). C'est juste?

Non. Enfin si je comprend bien ce que tu dit (c'est pas certain) tu te trompe. netfilter est le module qui s'occupe des connexions noyau, iptable n'est qu'une commande, l'interface qui permet de configurer ses réactions.
Dans si le contenu des tables "iptables" est vide, netfilter ne fera rien non plus.

De toute façon que veut tu qu'il fasse exactement ? Tout ce qu'il a faire en temps normal c'est de regarder a quel port est destiné le paquet, et à l'envoyer au processus qui à ouvert le port en question, c'est tout.

Peut etre que tu devrai aller jeter un œil la :
http://fr.wikipedia.org/wiki/Netfilter


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne