Bonjour,
> >
> > Ce truc m'a fortement interressé, c'est vrai, j'ai pas lu la doc de tcpd
> > en entier, mais j'ai quand meme un problème avec le coup de l'appel de
> > false c'est que la c'est un service, or, je logge tous les ports
> > et j'ai pas trouvé comme passer comme paramètre le port scanné dans la
> > ligne de commande de hosts.allow.
>
> Exacte ! tcpd etant lance par inetd, il ne connais pas le port ouvert.
> La solution etant de retrouver toute les infos sur le socket courrant
> en examinant les carracteristiques de stdin ou stdout. Ca devrait se
> faire avec qq lignes de perl (cf perlipc(1) )
>
Oui mais cela devient vite usine à gaz ! je cherchais un truc simple.
> > L'idée, c'est de logger les machines pour les mettre dans une liste noire
> > et d'envoyer un email à l'admin pour lui signaler que c'est pas trop sympa,
> > ca avant d'automatiser un coup de syndrop ou équivalent si la machine insiste !
> > Dans l'exemple sur tcpmux, ca marche bien, mais comment faire avec tous les ports.
> > Avec klaxon, j'ai le port scanné dans le syslog et avec wots, je le récupère en
> > temps réel !
>
> La tendance actuelle est plutot de faire disparaitre les scans des logs car ils
> sont tres courrants. Quand le scan est visible dans les logs on peut considerer
> le visiteur comme non dangereux car il exite un multitude de methodes de scan invisible
> dans les log. Il existe des sous windows des scaners en shareware pas tres performants
> qui pourrissent les fichiers journalisation. ( Un clic=100 lignes de log :( )
>
> On peut pas non plus considerer que le scan est une intrusion, ton mail à l'admin
> risque de finir a la poubelle.
>
> Si ta machine n'est PAS un serveur, ie que tu as peu de connexions entrantes, tu
> peux demander au firewall de logguer toutes connexions entrantes avec un :
>
> ipfwadm -I -a accept -y -W eth0
> ou
> ipchains -A input -j ACCEPT -l -i eth0 -y (pour les noyaux 2.2).
>
> ou mieux ! Avec
> #ipfwadm -I -a accept -W eth0 -P tcp -D mon_ip www
> #ipfwadm -I -a deny -W eth0 -P tcp -y -o
> #ipfwadm -I -a accept -W eth0 -P tcp
> ton serveur accepte toutes les connexions entrantes vers apache
> mais refuse et loggue toutes les tentatives sur un autre port.
>
> Pour une configue plus complette, regarde sur mon site.
>
> Pour l'automatisation, il vaut mieux eviter de forker quoi que ce soit a la
> reception de chaque paquet, tu risques de t'en mordre des doigts. Surtout si
> tu souhaites envoyer du mail avec. Flood et saturation des resources en
> perspective...
>
Je sais tout ca, mais cela comme a me gaver serieux, les scans systématiques !
Je gère une bonne quinzaine de serveurs, la pluspart sous Linux, et c'est
systèmatique, chaque jour, quasiment toutes les machines sont scannées,
plusieurs fois même par la même machine, puis tous les ports classiques sont testés,
telnet, smtp, rpc, pop, etc ....
Il y a interet à faire hyper gaffe, de ne pas se planter dans un fichier de
config, et puis, il y a le stress, se lever chaque matin en espèrant que son
mot de passe soit toujours valide .... j'rigole pas, je connais des
administrateurs systèmes qui un matin se sont vu refuser la connexion sur leurs
serveurs, alors que la machine tournait toujours, les services impécables,
mais un gars à l'autre bout du monde qui grattait dessus ! Ca a fini par un
reboot via disquette, etc ... mais c'est stréssant, puis il y l'image de marque
de la boite qui en prend un cout !
Merci, je vois que j'ai encore des trucs à apprendre ....
--
Cordialement,
Henry-Pascal ELDIN
Administration Systeme et Réseau de la Plateforme Internet du
Syndicat Intercommunal à Vocation Unique des Inforoutes de l'Ardèche
http://www.inforoutes-ardeche.fr