Le Wed, Mar 10, 1999 at 12:39:47AM -0800, Thierry de Villeneuve disait:
> Hello
>
> Quelqu'un ayant potassé la question pourrait-il me donner un exemple de /etc/inetd.conf et /etc/services avec les services minimums pour réduire les risques de pénétration sur ma machine (RH52) connectée en permanence.
>
/etc/services n'est pas un fichier de configuration mais de definition,
il permet au resolver (?) de convertir les no de port en hrf.
On ajoute a /etc/services (xtel, xquake..) on ne supprime pas.
> J'ai relevé cette nuit qq tentatives dans mon syslog venant de sites étrangers (mais dans le domaine de mon ISP).
>
> Mar 9 rshd[451]: Connection from 204.210.30.130 on illegal port
> Mar 9 ftpd[450]: FTP session closed
> Mar 9 identd[457]: from: 204.210.30.130 (dt043n82.san.rr.com) EMPTY REQUEST
> Mar 9 telnetd[460]: ttloop: peer died: Invalid or incomplete multibyte or wide character
> Mar 9 rlogind[462]: Connection from 204.210.30.130 on illegal port
> Mar 9 pam[462]: pam_end: NULL pam handle passed
> Mar 10 identd[538]: from: 204.210.0.10 ( proxyb1-atm.san.rr.com ) for: 61235, 25
> Mar 10 identd[538]: Returned: 61235 , 25 : NO-USER
>
C'est un scan. Vigilance sans panique.
telnetd, ftpd, rshd et rlogind ont tres mauvaise reputation si ta machine est
sur un reseau sniffable (univ, provider...).
En millieu tres corrosif, on remplace telnet, rshd et rlogind par ssh, on limite
le ftp a l'anonymous.
> Du coup j'ai fait une coupe sauvage dans mes services, mais je suis sur qu'il y a mieux à faire.
>
> Dois-je laisser accès à "auth", par exemple? est-ce utile à un moment, en fait?
>
auth est succeptible d'etre utilise par tcpd, apache, sendmail (...) et irc.
tcpd ajoute l'utilisateur dans les log, sendmail dans l'enveloppe, apache dans
une variable d'environment. L'absence identd n'est en principe jamais bloquant et
de moins en moins de serveur le propose. A considere comme un daemon de
coutoisie pas trop sensible au trou de securite.
mahdi
--
http://netliberte.org/
http://3276021430/
