[Resolu] Tiger Debian: Appliquer ses conseils

Support Debian
#1

Bonsoir, toujours dans mes mails …

[quote]# Performing system specific checks…

Performing checks for Linux/2…

Checking for single user-mode password…

Checking boot loader file permissions…

–WARN-- [boot06] The Grub bootloader does not have a password configured.

Checking for vulnerabilities in inittab configuration…

–FAIL-- [lin007w] Normal users can reboot the system through ctrl+alt+del in runlevels 12345

Checking for correct umask settings for init scripts…

–FAIL-- [misc017f] The umask setting in /etc/csh.login for the init scripts is insecure
–FAIL-- [misc017f] The umask setting in /etc/profile for the init scripts is insecure

Checking Logins not used on the system …

Checking network configuration

–WARN-- [lin012w] The system accepts ICMP redirection messages
–WARN-- [lin017w] The system is not configured to log suspicious (martian) packets

Verifying system specific password checks…

Checking OS release…

–WARN-- [osv004w] Unreleased Debian GNU/Linux version `testing/unstable’

Checking installed packages vs Debian Security Advisories…

Checking md5sums of installed files

Checking installed files against packages…

–WARN-- [lin001w] File /usr/X11R6/bin/bashbug' does not belong to any package. --WARN-- [lin001w] File/usr/X11R6/bin/script’ does not belong to any package.
… à peu prés 20 pages de pkg /usr/X11R6/bin/* comme ça …
–WARN-- [lin001w] File /lib/modules/2.6.8-2-386/modules.ofmap' does not belong to any package. --WARN-- [lin001w] File/lib/modules/2.6.8-2-386/modules.seriomap’ does not belong to any package.
–WARN-- [lin001w] File /sbin/apdbg' does not belong to any package. --WARN-- [lin001w] File/usr/bin/gnome-clipboard-daemon’ does not belong to any package.[/quote]

le # Checking network configuration m’embête un peu, comment faire ?
ps: les autres warnings aussi d’ailleurs …

:confused:

#2

hello,

Ca c’est parce que grub n’as pas de password au boot,

Ca c’est que n’importe qui peu rebooter le serveur,

Ca c’est parce que les mask sur ces fichiers sensible sont mal appilqué par default,

Ca c’est pas grave si c’est sur un routeur, sinon tu peux le desactiver,

Ca c’est que tu n’as pas activé le log de paquet avec des trames frauduleuse, ou en erreur,

Ca, a vu de nez c’est que des fichiers n’appartiennent a aucun package Debian.

Il te reste plus qu’as te documenter pour corriger.

#3

merci :stuck_out_tongue:

#4

Jamais vu une réponse de Stonfi aussi longue :open_mouth: Tu vas t’épuiser, à ce rythme :laughing:

#5

:smiley: :smiley:

#6

Au secours !!! oufff, MattOTop est connecté, un samedi matin :stuck_out_tongue:
Bon, j’ai bien lu le fine manual comme stonfi me l’a éloquemment suggéré, et je suis venu à bout de tout les points, c’est sur le dernier que j’ai commis ze boulette
Oui, déplacer le fichier X11R6 (que je suppose être un reliquat d’installation d’xfree86) n’aurait pas du me donner de souci, mais le faire avant d’avoir verifier que les path vers X pointent bien vers /usr/bin dans /etc/gdm/gdm.conf, c’est pas malin …
Là où ça devient fun :stuck_out_tongue:, c’est quand la veille on s’était amusé à mettre la directive
RootLogin pour les tty à no
Voilà … je peux pas modifier les fichiers de conf en user, je peux pas me loguer en root, je peux faire quoi ?

#7

ce que j’essaierai de faire à ta place :

  • me logger en user et tenter de modifier le fichier en utilisant sudo (un truc du genre sudo nano /ou/est/le/fichier/nom_du_fichier)
  • passer par un live cd, monter le volume contenant le fichier à editer, et editer ton fichier en tant que “root du live cd”

bon je ne suis pas un expert, je sais pas si ca peut marcher… mais ca vaut le coup d’essayer :wink:

#8

ouffff :smiley:
En fait, avec sudo je peux pas éditer les fichiers de conf, un peu normal …
Non mais si j’arrivais pas à entrer root au login dans une tty, en passant par un user normal puis un su, no problemo … j’ai donc pu éditer /etc/gdm/gdm.conf, remplacer toutes les instances de X11R6 dans les path de commande par () (rien).
ex : /usr/X11R6/bin/X —> /usr/bin/X, car bin de X11R6 n’était qu’un lien vers /usr/bin … Sauvé !!

Alors :

grub-md5-crypt password:
Copier l’encryption donnée dans /boot/grub/menu.lst, décommenter la ligne : password -md5 [coller le pwd crypté]

[quote]–FAIL-- [lin007w] Normal users can reboot the system through ctrl+alt+del in runlevels 12345[/quote]Je vois pas bien l’intêret d’y toucher …

[quote]# Checking for correct umask settings for init scripts…
–FAIL-- [misc017f] The umask setting in /etc/csh.login for the init scripts is insecure
–FAIL-- [misc017f] The umask setting in /etc/profile for the init scripts is insecure [/quote]Editer /etc/profile et /etc/skel/.bash_profile, modifier la valeur d’umask, j’ai mis un 127 au lieu de 022 … des remarques ?

[quote]# Checking network configuration
–WARN-- [lin012w] The system accepts ICMP redirection messages
–WARN-- [lin017w] The system is not configured to log suspicious (martian) packets[/quote]Editer /etc/sysctl.conf, ajout de

[quote=“section 9.3”]# Ignorer les mauvais messages d’erreurs ICMP
net.ipv4.icmp_ignore_bogus_error_responses = 1

Ignorer les messages de diffusion ICMP

net.ipv4.icmp_echo_ignore_broadcasts = 1

Journaliser les adresses sources falsifiées ou non routables

net.ipv4.conf.all.log_martians = 1[/quote]

[quote]–WARN-- [osv004w] Unreleased Debian GNU/Linux version `testing/unstable’ [/quote]Même pas grave …

[quote]–WARN-- [lin001w] File `/usr/X11R6/bin/bashbug’ does not belong to any package[/quote]J’ai viré donc tout X11R6 … pour les précautions d’usage, .cf plus haut :unamused: (valable quand on a Xorg biensur).

Voilà, pour les 4 dernières lignes de -WARN-- [lin001w] File, je pense que je vais pouvoir supprimer les fichiers sans problem, apparemment, il ne me sont plus utiles …

Merci :stuck_out_tongue:

ps: cedi dit, je suis pas sur d’avoir apporté les bonnes réponses ou suffisantes, tiger me le dira …

#9

pour passer en root un bête su ne suffit pas ?
et le reboot en single non plus ?
sinon, si tu n’as pas encore verrouillé ton grub, tu peux booter en passant init=/bin/bash au kernel.

#10

Tu sais Matt, il y a encore des tonnes de choses dont je n’ai pas idée … heu… su + pwd de root, c’est pas la même chose que login : root, password : pwd de root ??? :open_mouth:
Quand je fais su , je passe en root non ?

[quote=“MattOTop”]et le reboot en single non plus ?[/quote]Qu’est ce que le reboot en single ?

[quote=“MattOTop”]sinon, si tu n’as pas encore verrouillé ton grub, tu peux booter en passant init=/bin/bash au kernel.[/quote]Comment on fait ça, d’ailleurs, c’est à quel moment que grub nous laisse la main une seconde ?

#11

quote=“usinagaz”[quote]–FAIL-- [lin007w] Normal users can reboot the system through ctrl+alt+del in runlevels 12345[/quote]Je vois pas bien l’intêret d’y toucher …(…)[/quote]Empêcher le reboot sur un serveur ? Ca peut servir.