[RESOLU] Ouverture de port suspecte

Support Debian
#1

Bonjour à tous,

Je débute dans l’utilisation de Debian (et linux en général) sur un serveur, et j’ai identifié ce qui me semble être un problème sur lequel je m’arrache les cheveux depuis ce matin non stop :mrgreen: x-session-manag ouvre un port (constamment différent à chaque démarrage) lors du lancement d’une session avec NX. Je ne sais pas à quoi ça correspond (XDMCP ?) ni si c’est normal dans le cadre de mon utilisation :neutral_face:

Je précise ma config :

  • Debian Etch sur un serveur “virtuel” (virtuozzo) avec xdm / Xfce4
  • Connexion à distance avec mon PC avec NX Nomachine

le netstat : paste.pocoo.org/show/96130/ (IP 46 : le serveur / IP 47.1 : mon PC)
le pstree : paste.pocoo.org/show/96128/
le find /etc -name “xdm” > paste.pocoo.org/show/Hi26gWAu6U5ZeDr2UeoE/
l’uname : Linux machine 2.6.18-028stab059.6-ent #1 SMP Fri Nov 14 15:51:43 MSK 2008 i686 GNU/Linux

Bref si il y a un risque niveau sécurité, à quel niveau il faut agir (NX ? xdm ?). J’ai relevé ce qui me semblait empêcher xdm d’ouvrir une connexion XDMCP.
. Dans /etc/X11/xdm/xdm-config j’ai la valeur “DisplayManager.requestPort: 0”
. et dans /etc/X11/xdm/Xservers la valeur “::0 local /usr/bin/X vt7 -dpi 100 -nolisten tcp”

Voilà, si une âme charitable pouvait m’éclairer sur cela, là je sèche complètement là :smt002

#2

le x-session-manager est le composant qui sauve et restaure les applis dans la session X:
en.wikipedia.org/wiki/X_session_manager
je ne connais pas xfce ni son xsm, mais il y a bien des questions de protocole XSMP autour de ça, donc il est possible, surtout si tu as activé l’XDCMP d’une manière ou d’une autre, qu’il ait besoin d’écouter.
De plus, c’est pas trés facile d’installer un rootkit au fond d’une machine réelle sur une machine virtuelle, faudrait vraiment le vouloir pour que tu en aies importé un, AMA.
Donc je n’ai pas de réponse précise, mais AMA, ça sent le truc normal.

#3

Merci de ta réponse.
Pourrais-tu préciser ton idée concernant le risque moins important sur un “VPS” ?
Je ne pense pas non plus avoir une machine compromise, un scan de chrootkit n’a rien donné non plus. En revanche je ne sais pas si x-session-manag n’est pas vulnérable à une quelconque attaque.

Je ne pense pas non plus que ça soit “normal” car je viens de voir sur un autre serveur qu’avec le même type d’installation mais avec Ubuntu server 8.04 x-session-manag n’a rien ouvert du tout. La comparaison des fichiers de config de xdm ne me donne pas vraiment de différence, en dehors de la présence de “ConsoleKit” dans le processus de lancement :
|-sshd
| -sshd |-nxnode
| |-nxagent -D -options /home/user/.nx/xxx
| -nxnode |-ck-launch-sessi x-session-manager
| |-ssh-agent /usr/bin/ck-launch-session x-session-manager
| `-x-session-manag

#4

[quote=“Elrik”]Merci de ta réponse.
Pourrais-tu préciser ton idée concernant le risque moins important sur un “VPS” ?[/quote] Ben c’est déjà pas facile de passer derrière une passerelle domestique en NAT|MASQ pour attaquer une machine cliente qui n’est pas en direct sur l’internet, mais quand il y a une deuxiême indirection avec éventuellement un deuxiême NAT (à moins que tu sois en bridge), là, ça devient assez casse pied d’atteindre un port que tu n’as pas publié par redirection au travers des deux NAT vers la zone publique. [quote=“Elrik”]Je ne pense pas non plus avoir une machine compromise, un scan de chrootkit n’a rien donné non plus. En revanche je ne sais pas si x-session-manag n’est pas vulnérable à une quelconque attaque.[/quote] Ah c’est possible, mais avec les limitations de l’exploit liées à l’organisation du réseau que j’ai décrite. [quote=“Elrik”] Je ne pense pas non plus que ça soit “normal” car je viens de voir sur un autre serveur qu’avec le même type d’installation mais avec Ubuntu server 8.04 x-session-manag n’a rien ouvert du tout. La comparaison des fichiers de config de xdm ne me donne pas vraiment de différence, en dehors de la présence de “ConsoleKit” dans le processus de lancement :
|-sshd
| -sshd |-nxnode
| |-nxagent -D -options /home/user/.nx/xxx
| -nxnode |-ck-launch-sessi x-session-manager
| |-ssh-agent /usr/bin/ck-launch-session x-session-manager
| `-x-session-manag[/quote] Oui ben par contre, un process avec un nom comme ça, c’est nettement moins agréable. :smt003
Sauf que:
freedesktop.org/wiki/Software/ConsoleKit
Ca aussi ça a l’air normal, donc. Et puisque c’est la seule diff entre les deux machines, il faut voir quelles sont les actions de “ConsoleKit” qui pourraient ouvrir un port.
Tu as le chemin de la commande de “ConsoleKit” pour voir de quel paquet ça provient sous debian ?

#5

Pardon je m’étais peut-être mal exprimé, le tree en question provient de la machine sous Ubuntu justement (celle où le port n’est pas ouvert).
Consolekit est donc peut-être du coup l’outil qui empêche cela :smt003 L’autre “différence” est également la présence du daemon dbus sur Ubuntu (je ne le vois pas sur Debian).

[EDIT]
Enfin trouvé la “cause” de tout ça :slightly_smiling: Pour une raison que j’ignore, et alors que je n’avais rien touché à la config d’Xfce,
le fichier etc/xdg/xfce4-session/xfce4-session.rc était totalement absent et avec lui le paramètre :

[code]# Disable management of remote clients by default. The user

has to explicitly enable this for security reasons.

DisableTcp=True[/code]