[quote=“mattotop”]
thialme: le filtrage de l’output ne sert pas à protèger, mais uniquement à détecter, et je fais confiance à d’autres outils pour faire ça mieux (dont netstat, du noexec sur les partoches tmp + ma cervelle et mon attention). Quand les flux commencent à être bizarre en output, c’est soit qu’un service bizarre fait un callback soit que le type s’est déjà connecté (en entrée) par un port autorisé pour bidouiller, mais dans tous les cas, la machine n’est plus fiable: il est déjà trop tard.
Alors plutot que de me prendre la tête à trouver pourquoi à cause du filtrage d’output tel ou tel service légitime ne fonctionne pas, je préfère mettre mon temps dans d’autres modes de surveillance en amont.
Et comme j’ai dit, une machine compromise ne se répare pas, elle se formatte.
[/quote]
J’admets que tu as raison
sur l’utilité du filtrage de sortie. Mais bon, je préfère ; d’ailleurs il faut que j’ajoute des logs sur le filtrage de sortie (je n’en démordrais pas)
J’ajoute un IDS pour mettre en évidence les éventuelles failles + un petit chkrootkit et mes petits yeux pour regarder mes logs et mes graphes. Pour l’instant je n’ai jamais eu de problème, mais je ne l’ai peut-être pas encore trouvé (un peu moins de deux ans d’xp sous Linux et Debian)