Bonjour,

J’aimerai une aide pour vérifier ce que j’ai fais et répondre à quatre questions.

1 : Ce que j’ai fais vous parait-il bon ?
2 : mon port SSH que j’ai personnalisé je le met où ?
3 : Dois je personnaliser mes autres ports ( FTP,POP3, IMAP, SMTP, web, named) ?
4 : Dois-je conserver TCP_PORTS et UDP_PORT dans portsentry.conf ?

Merci et passez une bonne journée

Voici ce que j’ai :

nano /etc/default/portsentry

TCP_MODE="atcp" UDP_MODE="audp"

nano /etc/logrotate.d/portsentry

/var/lib/portsentry/portsentry.* { weekly rotate 4 compress missingok notifempty create 0640 root root sharedscripts postrotate /etc/init.d/portsentry restart > /dev/null 2>&1 endscript }

nano /etc/portsentry/portsentry.conf

TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,12346,20034,27665,31337,32771,32772,32773,32774,40421,49724,54320"
UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,37444,34555,31335,32770,32771,32772,32773,32774,31337,54321"

ADVANCED_PORTS_TCP="1024"
ADVANCED_PORTS_UDP="1024"

ADVANCED_EXCLUDE_TCP="113,139"
ADVANCED_EXCLUDE_UDP="520,138,137,67"

IGNORE_FILE="/etc/portsentry/portsentry.ignore"
HISTORY_FILE="/var/lib/portsentry/portsentry.history"
BLOCKED_FILE="/var/lib/portsentry/portsentry.blocked"

RESOLVE_HOST = "0"

BLOCK_UDP="1"
BLOCK_TCP="1"

KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP && /sbin/iptables -I INPUT -s $TARGET$ -m limit --limit 3/minute --limit-burst 5 -j LOG --log-level DEBUG --log-prefix 'Portsentry: dropping: '"

KILL_HOSTS_DENY="ALL: $TARGET$ : DENY"
SCAN_TRIGGER="0"
PORT_BANNER="** UNAUTHORIZED ACCESS PROHIBITED *** YOUR CONNECTION ATTEMPT HAS BEEN LOGGED. GO AWAY."

De ce que j’ai pu comprendre, tu n’as pas besoin de demander à portsentry de surveiller les ports que tu utilises. Tu le laisses surveiller les ports de sa liste , ça suffit .

Suis à la lettre le wiki en laissant portsentry en surveillance SANS le faire bannir les IPs. et tu testes toi-même un scan via nmap pour voir si la patrouille te retrouve

Sur ma machine de bureau depuis chez moi :

sorodje@HP-EliteBook-2560p-Precise:/var/log$ nmap sorrodje.alter-it.org Starting Nmap 5.21 ( http://nmap.org ) at 2012-04-06 16:30 CEST Nmap scan report for alterit3.alter-it.fr (37.59.125.25) Host is up (0.054s latency). Not shown: 995 filtered ports PORT STATE SERVICE 21/tcp closed ftp 53/tcp closed domain 80/tcp open http 443/tcp open https 587/tcp closed submission

sur le serveur :

root@serveur:/var/log# cat syslog | grep portsentry Apr 6 08:43:56 vks10487 portsentry[791]: attackalert: TCP SYN/Normal scan from host: 95.168.218.54/95.168.218.54 to TCP port: 21 Apr 6 08:43:56 vks10487 portsentry[791]: attackalert: Ignoring TCP response per configuration file setting. Apr 6 08:47:18 vks10487 portsentry[791]: attackalert: TCP SYN/Normal scan from host: 78.129.252.171/78.129.252.171 to TCP port: 21 Apr 6 08:47:18 vks10487 portsentry[791]: attackalert: Ignoring TCP response per configuration file setting. Apr 6 08:47:21 vks10487 portsentry[791]: attackalert: TCP SYN/Normal scan from host: 78.129.252.171/78.129.252.171 to TCP port: 21 Apr 6 08:47:21 vks10487 portsentry[791]: attackalert: Host: 78.129.252.171/78.129.252.171 is already blocked Ignoring [b]Apr 6 16:30:44 vks10487 portsentry[791]: attackalert: TCP SYN/Normal scan from host: 109.190.32.31/109.190.32.31 to TCP port: 21 Apr 6 16:30:44 vks10487 portsentry[791]: attackalert: Ignoring TCP response per configuration file setting. Apr 6 16:30:45 vks10487 portsentry[791]: attackalert: TCP SYN/Normal scan from host: 109.190.32.31/109.190.32.31 to TCP port: 587 Apr 6 16:30:45 vks10487 portsentry[791]: attackalert: Host: 109.190.32.31/109.190.32.31 is already blocked Ignoring Apr 6 16:30:45 vks10487 portsentry[791]: attackalert: TCP SYN/Normal scan from host: 109.190.32.31/109.190.32.31 to TCP port: 53 Apr 6 16:30:45 vks10487 portsentry[791]: attackalert: Host: 109.190.32.31/109.190.32.31 is already blocked Ignoring[/b]

N’oublie pas que je suis noob dans ce domaine
Soit il me faut des explication soit il me fut des exemples concret avec mes données.

Pourquoi je n’ai pas besoin de surveiller le sport que j’utilise ?

Le wiki est trop généraliste sans pour autant expliquer de manière compréhensible pour un noob, c’est inutilisable pour moi. Je ne suis pas apte a comprendre les terme techniques et expressions qui me sont inconnues. Tout apprendre seul est impensable particulièrement quand il ne me reste que 2 mois pour activer le serveur.

Je viens d’installer nmap.
Pourrais tu me donner au moins le commande nmap exacte pour tester mon firewall.
Svp

Bonne journée

[quote=“westernz”]N’oublie pas que je suis noob dans ce domaine
Soit il me faut des explication soit il me fut des exemples concret avec mes données.

Pourquoi je n’ai pas besoin de surveiller le sport que j’utilise ?

Le wiki est trop généraliste sans pour autant expliquer de manière compréhensible pour un noob, c’est inutilisable pour moi. Je ne suis pas apte a comprendre les terme techniques et expressions qui me sont inconnues. Tout apprendre seul est impensable particulièrement quand il ne me reste que 2 mois pour activer le serveur.

Je viens d’installer nmap.
Pourrais tu me donner au moins le commande nmap exacte pour tester mon firewall.
Svp

Bonne journée[/quote]

Une sentry digne de ce nom et facile à mettre en place :

Blague à part ton problème se situe où ?
Le wiki reste accessible pourtant.

Salut,

Ne surtout pas omettre ce fichier!

[quote]root@ksxxxx:/etc/bind# cat /etc/portsentry/portsentry.ignore

/etc/portsentry/portsentry.ignore: Contains all IPs portsentry(8)

will never block.

This file was generated by /usr/lib/portsentry/portsentry-build-ignore-file.

DO NOT EDIT - edit /etc/portsentry/portsentry.ignore.static instead and use

“/etc/init.d/portsentry restart” to reload the configuration.

IPs from /etc/portsentry/portsentry.ignore.static:

127.0.0.1/32
0.0.0.0
x.x.x.x # IP local

dynamically fetched IPs(via ifconfig -a):

91.121.x.x
127.0.0.1 [/quote]

Mon problème se situe en moi.
Je ne comprend pas ce que l’on me dit car je ne connait rien des serveur, de unix, et de debian.

Rien que le début je ne comprends pas

Le niveau de surveillance, je suppose surveillance des ports. Mais un niveau c’est quoi ?

Les ports inutilisés… C’est à dire. Je ne sais pas où ca commence ni où ca finit.
Si je comprend bien je ne peut en bloquer que 64 ? Et pour les autres ?

J’ai mise en advanced donc je suppose que je doit mettre un # devant les lignes activées par défaut. Mais est-ce bien de passer en advanced ou inutile dans mon cas (site basé sur phpbb)?
Portsentry va lier les ports, les lier à quoi ?
Il crée une liste d’écoute pour tcp et udp, et les autres port ? ssh, pop3, imap etc. ?

C’est à dire ? Je sais pas si je doit en ajouter ou non…

Etc. tout le long du wiki

Bonne journée

loreleil Merci, l’exemple je le comprend, si ne me trompe pas il s’agit de laisse mes ip libre de se connecter au serveur. Mon ip perso local chez moi et l’ip du serveur que j’ai loué quand il se connect en local à lui même.

Et je suppose que cat est un autre éditeur que nano.

Je vais de ce pas modifier ce fichier pour éviter de me bloquer tout seul.

EDIT :
Par contre je ne comrpend pas le coup de "dynamically fetched"
C’est sur mon pc perso que je dois matter mon ipconfig ?
Ja ne trouve pas lien entre dynamically fetched et les données que je trouve.
Par contre mon fichier sur le sevreur à déjà ceci :

127.0.0.1 127.0.0.2 37.59.125.3

Je ne sais pas quoi en penser.

[quote=“westernz”]loreleil Merci, l’exemple je le comprend, si ne me trompe pas il s’agit de laisse mes ip libre de se connecter au serveur. Mon ip perso local chez moi et l’ip du serveur que j’ai loué quand il se connect en local à lui même.

Et je suppose que cat est un autre éditeur que nano.

Je vais de ce pas modifier ce fichier pour éviter de me bloquer tout seul.[/quote]

“cat” n’est pas un éditeur mais une commande te permettant de cataloguer tous ce qui se trouve dans un fichier, Chez Unix/Linux tous est fichier.

Si vraiment tu débute 2 mois me parait être un délai vraiment trop court pour te permettre de mettre un serveur en ligne ( configurer/sécurisé/administrable ) tous en comprenant ce que tu fais comme tu le souhaite .

Je n’ai pas besoin de comprendre. Ce n’est pas ma tache ni mon métier. Mais sans aide… Je n’ai pas le choix. Je veux bien appliquer ce que l’on me dit et laisser tel quel en attendant d’avoir un bénévole pour le faire mais il faudrait déjà que j’ai une aider pour une 1ere mise en place qui fonctionne. Les tuto malheureusement nécessitent des connaissances que je n’ai pas.

nb : c’est pour une asso d’intérêt général: an16.org
Elle presque bonne a mettre en ligne (officiellement je veux dire)

Actuellement mon /etc/portsentry/portsentry.ignore est ainsi :

[code]# This file was generated by /usr/lib/portsentry/portsentry-build-ignore-file.

DO NOT EDIT - edit /etc/portsentry/portsentry.ignore.static instead and use

“/etc/init.d/portsentry restart” to reload the configuration.

IPs from /etc/portsentry/portsentry.ignore.static:

127.0.0.1/32
0.0.0.0
192.168.0.12 # la seule ligne que j’ai rajoutée

dynamically fetched IPs(via ifconfig -a):

127.0.0.1
127.0.0.2
37.59.125.3
[/code]

voila tout ce que j’ai fais jusqu’à présent:
an16test.org/0serveur/serveur.pdf

Mais sans savoir utilise nmap je vais pas pouvoir tester
Je verrai demain pour la suite.

Juste pour remettre les choses au clair, car j’ai l’impression que tu confonds plusieurs choses (dis moi si je me trompe).

Portsentry n’est absolument pas un firewall et il n’est pas fait pour bloquer le trafic. C’est un outil de détection d’intrusion : il surveille certains ports inutilisés et si quelqu’un essaye de s’y connecter il donne l’alarme. C’est tout.
Si tu veux un firewall, c’est du côté d’iptables qu’il faut regarder.

[quote=“westernz”]Actuellement mon /etc/portsentry/portsentry.ignore est ainsi :

[code]# This file was generated by /usr/lib/portsentry/portsentry-build-ignore-file.

DO NOT EDIT - edit /etc/portsentry/portsentry.ignore.static instead and use

“/etc/init.d/portsentry restart” to reload the configuration.

IPs from /etc/portsentry/portsentry.ignore.static:

127.0.0.1/32
0.0.0.0
192.168.0.12 # la seule ligne que j’ai rajoutée[/code]
[/quote]

192.168.0.12 c’est l’IP locale de ton poste sur ton réseau local … ton serveur distant ne la voit jamais.

Est ce que tu sais si tu as une IP statique pour accéder à internet ou une IP dite dynamique ? si tu as une IP Statique , c’est celle là qu’il faut signaler à portsentry comme devant être ignorée.

salut
effectivement 2 mois c est court. mai google est ton amis.
sinon pour bloquer les port,ip on utilise iptables.
inetdoc.net/guides/iptables-tutorial/

Amha (A mon humble avis) indispensable pour sécuriser ton serveur. c’est pas quand sa sera online que tu va pouvoir faire des test …
Ensuite il faux le paramettrer correctement et surtout etre capable de le refaire si besoins est.

il faux a un moment choisir ce que tu veux, sois tu met les main dans le cambouis et t’apprends, soi tu fait tout a “l’aveugle” et tu te contente des tuto, l’autre est aussi d’avoir quelqu’un qui si connaît

syam

Merci pour ta précision j’en avais besoin.
Je faisait l’amalgame de tout ceci.
Donc je comprend que portsentry fait office de rustine pour colmate les failles des logiciels de sécurité.

sorodje
Effectivement erreur de ma part, je vais noter mon ip fixe visible sur n’importe quel site de type seemyip.com

panthere

Je suis tout prêt à bosser le sujet. Malheureusement je comprend mieux des exemples concret que des tutoriels. C’est ainsi que j’ai pris le php et JS depuis 4 ans dont les 2 dernières année avec une aide précieuse d’une personne de asp-php.net. Le résultat est net, an16.org à la base c’est une forum phpbb. J’ai tout reprogrammé moi même en commençant par des mods car je n’y connaissait rien.

Seul souci, le serveur j’ai pas 4 ans actuellement ca me coute 400e par an pour seulement 40go … Et je peux pas débuter les services avec si peu. J’aimerai offrir 5go par personne. un serveur de 500go avec un infogérance minimum (installation propre gratuite) ca reste très cher. Trop cher pour ma bourse en tout cas, car pour le moment c’est moi qui paye tout.

Help demandé
Il me faudrait une ligne de commande pour utilise nmap svp.
Lire l’aide sans vraiment comprendre de quoi ca parle c’est pas aisé. Et il n’y pas aide ‘pour les nul’.

Merci à tous
Bonne soirée

Une ligne de commande pour nmap ?

sinon que veux tu faire avec nmap ?

sinon je pense que tu devrai tenir compte que c’est 1 sujet par topic.
je te conseil de t’acheter un livre sur debian. 50 frs 40 E env , c’est de la bonne doc si elle est bien choisie. tu gagne en temps.
ensuite sa te fait une aide mémoire

Interface graphique pour nmap :

De quoi as-tu besoin exactement ? Du côté hébergements mutualisés tu peux t’en tirer pour quasiment deux fois moins cher avec 500go d’espace disque (OVH)… Le critère de choix c’est ce que tu veux en faire réellement. En plus l’avantage du mutualisé c’est que tu n’as pas autant besoin d’administer les choses, c’est tout géré pour toi.

Un nmap graphique, je vais voir cela , mais demain.

Pour ce dont j’ai besoin, stockage de fichiers en masse et de toute taille (2go max on va dire). Donc en mutualisé je doute que je puisse uploadé un fichier de 2go en php.
Je suis obligé de toucher au php.ini donc d’avoir mon serveur.

Le reste c’est du phpbb et de l’email.

Quand au livre débian, à avoir déjà acheté des livre de ce type, je vais avoir le même souci qu’avec les tuto. Le désavantage de slivre c’est qu’il ne répondent pas, jamais un livre ne m’a dit “non tu as mal compris”.

Donc le mieux, c’est de demander de l’aider sur les forums qui en propose en espérant qu’on ne me dise pas d’aller voir ailleurs (genre achète toi un bouquin).

Bonne journée

[quote=“sorodje”]

Est ce que tu sais si tu as une IP statique pour accéder à internet ou une IP dite dynamique ? si tu as une IP Statique , c’est celle là qu’il faut signaler à portsentry comme devant être ignorée.[/quote]

Que faire quand son ip est dynamique ?
Juste pour compléter le tuto, je crois que la mienne est fixe.

Bonne journée

Je crois que dans ce cas là tu es coincé…
La solution serait d’avoir un script qui envoie l’IP du client (déclenché par un post-up dans le fichier interfaces) au serveur pour modifier la conf de portsentry.