Sécurisation - skan05.tgz

Page principale

Répondre à ce message
Auteur: Fabien BLANC-PAQUES
Date:  
À: guilde
CC: Thierry de Villeneuve
Anciens-sujets: Exemples pour sécurisation
Sujet: Sécurisation - skan05.tgz
Salut,

A mon avis tu a ete la cible d'un scanner de ports (cf l'increment du
port utilise).
J'ai deja eu quelques soucis identiques aux tiens !!! :)
Le mieux: tu edites le fichier /etc/services en laissant vraiment le
MINIMUM de ports ouvert. Si tu peux, evites tout ce qui est rxxx (rlogin
par exemple).
Lorsque tu t'interroges sur un port, desactives le puis relance l'inetd,
et vois si ca fonctionne ou pas ! Facile non ? Enfin, facile si tu est en
local car j'ai deja fait des bourdes a distance et desactiver toutes les
connexions reseau m'a valu un coup de fil suivi de l'explication
telephonique du "rajoutes la ligne suivante avec vi" !!!
Plus serieusement, le fichier /etc/services contient une bonne description
de tous les ports.

Voila les ports ouverts sur mon systeme:
[Port]          [service]       [prototype]
-------         ---------       ----------
21              ftp             tcp
22              ssh             tcp
23              telnet          tcp
111             sunrpc          tcp


Ci-joint en attachement un petit programme que j'ai realise qui scanne
tous les ports d'une machine. Cela te permet de savoir ou tu en est
vraiment. Ne faites pas attention au style du code "quick & dirty" !
Ca marche !
Faites attention, lorsque ce programme est utilise il rajoute des lignes
dans le /var/log/messages !!! (tentatives d'acces a certains ports !).
Donc a utiliser sur sa propre machine evidemment !


Si tu a d'autres questions ou problemes relatifs a la securite, cela
m'interesse !!!

Fabien BLANC-PAQUES | fabien@???



On Wed, 10 Mar 1999, Thierry de Villeneuve wrote:

> Hello
>
> Quelqu'un ayant potass? la question pourrait-il me donner un exemple de /etc/inetd.conf et /etc/services avec les services minimums pour r?duire les risques de p?n?tration sur ma machine (RH52) connect?e en permanence.
>
> J'ai relev? cette nuit qq tentatives dans mon syslog venant de sites ?trangers (mais dans le domaine de mon ISP).
>
> Mar 9 rshd[451]: Connection from 204.210.30.130 on illegal port
> Mar 9 ftpd[450]: FTP session closed
> Mar 9 identd[457]: from: 204.210.30.130 (dt043n82.san.rr.com) EMPTY REQUEST
> Mar 9 telnetd[460]: ttloop: peer died: Invalid or incomplete multibyte or wide character
> Mar 9 rlogind[462]: Connection from 204.210.30.130 on illegal port
> Mar 9 pam[462]: pam_end: NULL pam handle passed
> Mar 10 identd[538]: from: 204.210.0.10 ( proxyb1-atm.san.rr.com ) for: 61235, 25
> Mar 10 identd[538]: Returned: 61235 , 25 : NO-USER
>
>
> Du coup j'ai fait une coupe sauvage dans mes services, mais je suis sur qu'il y a mieux ? faire.
>
> Dois-je laisser acc?s ? "auth", par exemple? est-ce utile ? un moment, en fait?
>
>
> Bonne journ?e ? vous, la mienne se termine :)
>
> Thierry
> === eom =============================================================
> Thierry de Villeneuve                             San Diego, CA 92128
> home e-mail thierryv@???                 voice +1 (619) 679-3366
> prof e-mail thierry.de-villeneuve@???        fax +1 (619) 679-3395
> http://users.abac.com/thierryv/                  http://www.efsd.org/

>
>