Le Wed, Mar 10, 1999 at 07:39:19PM +0100, Henry-Pascal ELDIN disait:
> Return-Receipt-To: Henry-Pascal.Eldin@???
>
>
> le truc c'est d'utiliser le petit logiciel que j'ai trouvé
> klaxon de Doug.Hughes@???.
> On doit le trouver un peu partout, j'ai plus l'url.
>
> Il permet de loger chaque appel sur un port via syslog
>
> dans /etc/inetd.conf
>
> tcpmux stream tcp nowait root /usr/sbin/klaxon klaxon tcpmux
>
[...]
>
> Mar 10 19:36:35 privas klaxon[437]: ALERTE: la machine
> privas.inforoutes-ardeche.fr tente d'accider au port tcpmux
Je ne comprend pas tres bien l'interet de klaxon.
dans inetd.conf:
tcpmux stream tcp nowait nobody /usr/sbin/tcpd /bin/false
(je note au passage que klaxon s'execute sous root)
et dans hosts.allow :
false:ALL: spawn /bin/echo ! ALERTE ! gros mechant detecte depuis %u@%n | logger -i -p local3.warning -t tcmmux
On obtiens exeactement la meme chose. Avec un deamon root de moins.
De plus klaxon ajoute un message de plus au scan proprement dis.
Par contre on peut ajouter automatiquement le vilain dans le firewall avec un
false:ALL: spawn /sbin/ipfwadm -I -a deny -S %n
Totalement parano mais plus utile... Malheureusement le scaner le
plus utilise (nmap) parcourt les ports aleatoirement et ne commence
pas par 1 comme strobe "pouvait" le faire.
mahdi
--
http://netliberte.org/
http://3276021430/
