vous pensiez que linux est plus safe que windows ???

thehackernews.com/2012/10/harden … conds.html

toolsyard.thehackernews.com/2012 … linux.html

Ouais, dommage que (comme d’habitude) ces gens-là se ventent de leurs exploits hypothétiques sans nous dire comment fonctionne leur solution miracle. Où est le code ? Ou même ne serait-ce qu’un début d’explication ?

Le code est facile à retrouver : le github est indiqué dans le deuxième lien.
github.com/Brian-Holt/server-shield

J’étais justement en train de regarder ce que ça fait… En gros : rien. C’est un script firewall très basique, les réglages /proc/sys/net/ ne sont même pas complets. Pire, par défaut il ouvre tous les ports correspondants aux services actifs sur la machine.
Aucune trace de protection DoS, de détection de rootkits ni de prévention de fuite de données contrairement à ce qui est annoncé.

Accessoirement certaines parties sont spécifiques à RedHat (yum) donc ça ne marchera pas sur Debian sans modification.

Donc même si leur logo est un zoli bouclier, il n’y a aucune avancé particulière dans leur “protection”. C’est juste une script de mise en place de sécurité plus ou moins avancé

Rien de folichon quoi. Ton titre est peut être un peu racoleur

Donc même si leur logo est un zoli bouclier, il n’y a aucune avancé particulière dans leur “protection”. C’est juste une script de mise en place de sécurité plus ou moins avancé

Rien de folichon quoi. Ton titre est peut être un peu racoleur [/quote]

si on fait pas peur,ça n’interesse pas …

et oui je rejoins le fait que c’est un script basic !!!

C’est vraiment pas ça qui va le déranger

C’est vraiment pas ça qui va le déranger [/quote]

c’est a dire ?

C’est vraiment pas ça qui va le déranger [/quote]

Je n’en dirai pas, moins …

Zut, on a perdu la grhimette !

Je suis confiant : la prochaine ne tardera pas !

Mise à part contre des attaques ciblant une interruption de service par déni la seule et vrai sécurité est le cerveau de l’administrateur.

Le sujet à déjà été débattu et re débattu, un firewall et tout ce qui va avec pour vérifier l’intégrité de la machine, les mises à jour de sécurité et bien entendu l’interdiction d’utilisé des scripts foireux ou du code troué sont les meilleurs amis des admins.

En bref du bon sens de la logique et de la documentation

Tiens, puisqu’on en parle : je n’ai jamais installé de pare-feu sur mes machines (qui ne sont pas des serveurs), qui sont généralement derrière un routeur qui ne fait pas suivre les requêtes sur les ports de ma machine.
Je prends vraiment un risque ?

Du genre

#apt-cache search brain ants - advanced normalization tools for brain and image analysis asylum - surreal platform shooting game beef - flexible Brainfuck interpreter critterding - Evolving Artificial Life ears - collection of Last.fm clients and CD-ripping tools excellent-bifurcation - abstract vertical shooter with two sides to play on gbrainy - brain teaser game and trainer to have fun and to keep your brain trained hnb - hierarchical notebook ipmitool - utility for IPMI control with kernel driver or LAN interface itksnap - semi-automatic segmentation of structures in 3D images juk - music jukebox / music player kdissert - mindmapping tool kid3-qt - Audio tag editor kid3 - KDE MP3 ID3 tag editor libacme-brainfck-perl - Embed Brainf*ck in your perl code libdiscid0-dev - Library for creating MusicBrainz DiscIDs (development files) libdiscid0 - Library for creating MusicBrainz DiscIDs libjs-edit-area - a free javascript editor for source code libmusicbrainz4-dev - Second generation incarnation of the CD Index - development libmusicbrainz4c2a - Second generation incarnation of the CD Index - library python-musicbrainz - Second generation incarnation of the CD Index - Python bindings libmusicbrainz-discid-perl - Perl interface to the MusicBrainz libdiscid library libmusicbrainz-ruby1.8 - Ruby interface to musicbrainz libmusicbrainz3-6 - library to access the MusicBrainz.org database libmusicbrainz3-dev - library to access the MusicBrainz.org database (development files) libtunepimp-dev - MusicBrainz tagging library development files libtunepimp5-dbg - Debug symbols for libtunepimp5 library libtunepimp5 - MusicBrainz tagging library python-tunepimp - Python bindings for MusicBrainz tagging library libwebservice-musicbrainz-perl - XML based Web service API to the MusicBrainz database mazeofgalious-data - The Maze of Galious mazeofgalious - The Maze of Galious morituri - CD ripper aiming for maximum quality mrtrix-doc - documentation for mrtrix mrtrix - diffusion-weighted MRI white matter tractography libnifti-dev - IO libraries for the NIfTI-1 data format nifti-bin - tools shipped with the NIfTI library picard - Next-Generation MusicBrainz audio files tagger python-musicbrainz2-doc - An interface to the MusicBrainz XML web service (documentation) python-musicbrainz2 - An interface to the MusicBrainz XML web service quodlibet-plugins - various contributed plugins for Quod Libet r-cran-qvalue - GNU R package for Q-value estimation for FDR control ttf-aenigma - 465 free TrueType fonts by Brian Kent voxbo - processing, statistical analysis, and display of brain imaging data fsl-4.1 - analysis tools for FMRI, MRI and DTI brain imaging fsl-doc-4.1 - documentation for FSL fsl - Metapackage for the latest version of FSL goobox - lecteur et extracteur de CD intégré à GNOME 2 jumpnbump - Adorable jeu de plate-forme multi-joueurs avec des lapins vym - Outil de cartographie mentale J’ai bien peur qu’on en perde en route

[quote=“vv222”]Tiens, puisqu’on en parle : je n’ai jamais installé de pare-feu sur mes machines (qui ne sont pas des serveurs), qui sont généralement derrière un routeur qui ne fait pas suivre les requêtes sur les ports de ma machine.
Je prends vraiment un risque ? [/quote]
Il y a toujours un risque, mais netfilter/iptable par défaut ferme déjà presque tous les ports…Je ne suis pas le mieux placé pour répondre, je passe la main.

[quote=“vv222”]Tiens, puisqu’on en parle : je n’ai jamais installé de pare-feu sur mes machines (qui ne sont pas des serveurs), qui sont généralement derrière un routeur qui ne fait pas suivre les requêtes sur les ports de ma machine.
Je prends vraiment un risque ? [/quote]

Le firewall n’est pas une obligation mais c’est avant tout une possibilité de filtrer tous ce qui sort de la machine et éventuellement envoyer paître les géneurs qui toc trop souvent et tente des intrusions basiques

Encore une fois le Firewall n’est pas une sécurité absolue encore faut-il que les régles coïncide avec les besoins et les services en ligne.

Du genre[/quote]

Si le paquet brain n’est pas disponible veuillez débrancher immédiatement votre ordinateur pour votre propre sécurité.

• EDIT - je n’ai jamais installé de firewall sur le Windows qui tourne à la maison et en générale le Firewall de mes machines se borne grosso modo à ouvrir uniquement ce dont j’ai besoin en s’assurant que les personnes de l’autre côté soit bien celles attendues.
  La seul exception est un chroot qui me sert à accueillir des gens sans grand considération pour la sécurité.

PARANO vous avez dit parano

depuis que j’ai l’adsl mes machines domestiques sont derrière le parefeu de la livebox(parefeu fonctionnant avec iptables) et je ne me suis encore jamais fait piner,une machine xp pour les jeux et ma debian sur laquelle tourne en permanence mon serveur proftp.Jamais de problèmes.De temps à autre une de mes filles branche son portable seven sur le switch et tout baigne.Après pour les serveurs pros…

[quote=“codemage”][quote=“vv222”]Tiens, puisqu’on en parle : je n’ai jamais installé de pare-feu sur mes machines (qui ne sont pas des serveurs), qui sont généralement derrière un routeur qui ne fait pas suivre les requêtes sur les ports de ma machine.
Je prends vraiment un risque ? [/quote]
Il y a toujours un risque, mais netfilter/iptable par défaut ferme déjà presque tous les ports…Je ne suis pas le mieux placé pour répondre, je passe la main.[/quote]
Non, non il laisse tout passer.

[code]# su -c “iptables -L”
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination[/code]

[code]# netstat -tan | grep LISTEN
tcp 0 0 0.0.0.0:40364 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp6 0 0 ::1:631 :::* LISTEN
tcp6 0 0 ::1:25

nmap -v 192.168.1.10

Starting Nmap 5.00 ( http://nmap.org ) at 2012-10-17 20:47 CEST
NSE: Loaded 0 scripts for scanning.
Initiating Parallel DNS resolution of 1 host. at 20:47
Completed Parallel DNS resolution of 1 host. at 20:47, 0.05s elapsed
Initiating SYN Stealth Scan at 20:47
Scanning 192.168.1.10 [1000 ports]
Discovered open port 111/tcp on 192.168.1.10
Completed SYN Stealth Scan at 20:47, 0.08s elapsed (1000 total ports)
Host 192.168.1.10 is up (0.000010s latency).
Interesting ports on 192.168.1.10:
Not shown: 999 closed ports
PORT STATE SERVICE
111/tcp open rpcbind

Read data files from: /usr/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 0.21 seconds
Raw packets sent: 1000 (44.000KB) | Rcvd: 2001 (84.044KB)

[/code]
Sans vouloir lancer un débat, cette configuration de netfilter/iptable est celle d’origine

[code]# nmap -O localhost

Starting Nmap 5.00 ( http://nmap.org ) at 2012-10-17 20:54 CEST
Interesting ports on localhost (127.0.0.1):
Not shown: 997 closed ports
PORT STATE SERVICE
25/tcp open smtp
111/tcp open rpcbind
631/tcp open ipp
[/code]

Oui, et ça prouve bien que :

• ton scan n’est pas complet (seulement 1000 ports scannés sur les 65535 possibles, d’où l’oubli du 40364 – voir l’option -p de nmap)
• selon l’interface scannée, nmap trouve bel et bien tous les services qui écoutent sur cette interface (dans la limite des ports réellement scannés)

Donc iptables laisse effectivement tout passer. CQFD.

Effectivement, je me suis vraiment penché sur iptables ce matin, j’avais une vrai passoire…