Sidux

Pause Café
#101

Et nous pourrions aussi mettre sur le tapis SSH…
Activé dés l’installation, qui écoute le 22 (v’la les flics) sur toutes les interfaces, et qui permet une connexion root…
Je trouve que ça aussi mériterais au moins un avertissement !

#102

[quote=“fran.b”]Il suffit de rajouter l’option tty_tickets finalement… Voire mieux, comme le suggère à chaque fois Gérard, mettre le timeout à 0.

Ps: ggoodluck47: ça n’est pas une histoire de mise en cause (que je n’avais pas vue, j’ai passé l’age de me vexer ou de vouloir prouver des choses) mais de précision, c’est différent de dire que sudo est mal paramétrée sur debian que de dire sudo est mauvais (même si je n’aime pas sudo comme outil d’administration, je n’irais pas jusque là). Visiblement le développeur de sudo a pensé à ce problème, je trouve dommage de ne pas suivre son idée et je ne veux pas le mettre en cause. Au minimum un avertissement ou la mise en place d’une ligne

Defaults: tty_tickets

aurait été une bonne chose (c’est l’empaqueteur que je met en cause en fait).[/quote]

Je ne sais pas pour les autres, mais je peux te dire que pour moi, inconditionnel de sudo, la modif a été faite immédiatement sur toutes mes installations. Je rappelle que mon motif principal est ma tendance à oublier de sortir de su :slightly_smiling:

#103

Salut,
SMXI me met le paquet “linux-source-sidux-2.6.32” en mise-à-jour, TOUS LES JOURS depuis un moment (une bonne semaine ?)
J’ai une bonne connexion, mais ça me rajoute 60Mo tous les jours, ça commence à m’énerver…

The following packages will be upgraded: compiz-core compiz-plugins cups cups-bsd cups-client cups-common feh libapache2-mod-php5 libchamplain-0.4-0 libchamplain-gtk-0.4-0 libcups2 libcups2-dev libcupscgi1 libcupsdriver1 libcupsimage2 libcupsmime1 libcupsppdc1 libdecoration0 libenca0 libnm-glib2 libnm-util1 linux-source-sidux-2.6.32 ntpdate php5 php5-cgi php5-common python-simplejson xserver-xorg-input-wacom xserver-xorg-video-neomagic 29 upgraded, 1 newly installed, 5 to remove and 8 not upgraded. Need to get 80.3MB/81.2MB of archives. After this operation, 1876kB of additional disk space will be used. Do you want to continue [Y/n]?

Même chose chez vous ?

#104

Salut,

Je profite des mises à jour pour vérifier que les paquets cités me sont utiles et je les enlève après, ce qui soulage les futurs chargements. Comme je fais cela depuis le début j’en ai peut-être un peu moins ?

#105

Re,

[quote=“ggoodluck47”]Salut,

Je profite des mises à jour pour vérifier que les paquets cités me sont utiles et je les enlève après, ce qui soulage les futurs chargements. Comme je fais cela depuis le début j’en ai peut-être un peu moins ?[/quote]

Je suppose, mais n’a-t-il pas besoin des sources pour VirtualBox et Nvidia ?

#106

Salut,

Non, smxi se charge du reste, je n’ai pas les sources dans mon sources.list :slightly_smiling:

#107

[quote=“ggoodluck47”]Salut,

Non, smxi se charge du reste, je n’ai pas les sources dans mon sources.list :slightly_smiling:[/quote]

Merci je vire, 120 Mo de gagné (j’ai aussi les sources pour 2.6.32 Debian…) :wink:

#108

SID 2.6.32-8.slh.1-sidux
:open_mouth: :open_mouth:
Déjà!! Mais on peut pas dormir sans se réveiller avec 3 noyaux de retards ! :open_mouth: !
:smt006

#109

[quote=“Clem_ufo”]SID 2.6.32-8.slh.1-sidux
:open_mouth: :open_mouth:
Déjà!! Mais on peut pas dormir sans se réveiller avec 3 noyaux de retards ! :open_mouth: !
:smt006[/quote]

Bien vu j’ai pas regardé ce matin.
Plus je l’utilise, plus elle me plaît bien cette distro :slightly_smiling:

#110

[quote=“Clem_ufo”]SID 2.6.32-8.slh.1-sidux
:open_mouth: :open_mouth:
Déjà!! Mais on peut pas dormir sans se réveiller avec 3 noyaux de retards ! :open_mouth: !
:smt006[/quote]

:mrgreen:

Je ne met pas le noyau à jour systématiquement, ça va un peu vite quand même… :laughing:

#111

[quote=“lol”]Et nous pourrions aussi mettre sur le tapis SSH…
Activé dés l’installation, qui écoute le 22 (v’la les flics) sur toutes les interfaces, et qui permet une connexion root…
Je trouve que ça aussi mériterais au moins un avertissement ![/quote]La politique d’OpenBSD sur la question me plaît plus :
Pendant l’installation, la question est posée d’activer le démon SSH au démarrage ou non,
ensuite de créer un utilisateur et ensuite si un utilisateur a été crée,
d’interdire le login à root sur ssh, c’est ce qu’ils appellent la sécurité pro-active. :slightly_smiling:
Par contre je ne me souviens plus qu’ils proposent de changer le port par défaut de SSH pendant l’installation.

#112

Salut,

Et vous croyez que la solution de mettre 2222 au lieu de 22 est plus sécurisée ?

#113

Salut,

[quote=“eol”]La politique d’OpenBSD sur la question me plaît plus :
Pendant l’installation, la question est posée d’activer le démon SSH au démarrage ou non,
ensuite de créer un utilisateur et ensuite si un utilisateur a été crée,
d’interdire le login à root sur ssh, c’est ce qu’ils appellent la sécurité pro-active. :slightly_smiling:
Par contre je ne me souviens plus qu’ils proposent de changer le port par défaut de SSH pendant l’installation.[/quote]

Pas mal… C’est tout de même mieux que ce qui est configuré par défaut sous Debian.
J’avais pensé à une solution, mais je n’ai jamais eu le courage de la mettre en place. Ecoute sur un port au choix (pas le 22) à heures fixes pendant disons 3-4 minutes. Ça laisse le temps de se connecter et de désactiver l’arrêt du service ! Evidemment si tu rate la “fenêtre” tu es bon pour attendre une heure (selon…).

#114

[quote=“ggoodluck47”]Salut,

Et vous croyez que la solution de mettre 2222 au lieu de 22 est plus sécurisée ?[/quote]Non, c’est ce que tout le monde fait et ça commence à être bien connu, par contre choisir un nombre qui n’a vraiment rien à voir réduit déjà sensiblement le nombre de tentatives d’intrusions.

#115

Mais un simple scan de la machine indique bien quels ports sont ouvert en input, non ?

#116

sauf qu’un scan standard s’arrête au port 1024. Un scan approfondi est beaucoup plus long en général, car les ports vont jusqu’à 6XXXX max je crois.
Sans compter qu’un service de scan associe le port 22 à ssh, mais si ssh est sur un autre port, on verra le port ouvert, mais pas quel protocole l’écoute.

#117

[quote=“L0u!$”]sauf qu’un scan standard s’arrête au port 1024. Un scan approfondi est beaucoup plus long en général, car les ports vont jusqu’à 6XXXX max je crois.
Sans compter qu’un service de scan associe le port 22 à ssh, mais si ssh est sur un autre port, on verra le port ouvert, mais pas quel protocole l’écoute.[/quote]
Un pirate qui scannerait que 1024 ports sur les 65536 ? :open_mouth: Bon, après ça dépend toujours d’à quel point il est décidé à t’emmerder, mais si on part du principe qu’on cherche à sécuriser…

Après, effectivement je pense pas qu’on puisse (facilement) savoir quel service écoute quel port, mais si tu as pas 36000 ports d’ouverts, ça devient pas très long de tester je pense.

#118

Re,

[quote=“seb-ksl”][quote=“L0u!$”]sauf qu’un scan standard s’arrête au port 1024. Un scan approfondi est beaucoup plus long en général, car les ports vont jusqu’à 6XXXX max je crois.
Sans compter qu’un service de scan associe le port 22 à ssh, mais si ssh est sur un autre port, on verra le port ouvert, mais pas quel protocole l’écoute.[/quote]
Un pirate qui scannerait que 1024 ports sur les 65536 ? :open_mouth: Bon, après ça dépend toujours d’à quel point il est décidé à t’emmerder, mais si on part du principe qu’on cherche à sécuriser…

Après, effectivement je pense pas qu’on puisse (facilement) savoir quel service écoute quel port, mais si tu as pas 36000 ports d’ouverts, ça devient pas très long de tester je pense.[/quote]

Si c’est long… Et, à moins d’avoir une cible - ce que la plupart des pirates n’ont pas en général - ils font ça un peu au hasard, je ne crois pas qu’il testent tous les ports, ce sont les ports “classiques” qu’ils testent en priorité.

#119

[quote=“lol”]Re,

[quote=“seb-ksl”][quote=“L0u!$”]sauf qu’un scan standard s’arrête au port 1024. Un scan approfondi est beaucoup plus long en général, car les ports vont jusqu’à 6XXXX max je crois.
Sans compter qu’un service de scan associe le port 22 à ssh, mais si ssh est sur un autre port, on verra le port ouvert, mais pas quel protocole l’écoute.[/quote]
Un pirate qui scannerait que 1024 ports sur les 65536 ? :open_mouth: Bon, après ça dépend toujours d’à quel point il est décidé à t’emmerder, mais si on part du principe qu’on cherche à sécuriser…

Après, effectivement je pense pas qu’on puisse (facilement) savoir quel service écoute quel port, mais si tu as pas 36000 ports d’ouverts, ça devient pas très long de tester je pense.[/quote]

Si c’est long… Et, à moins d’avoir une cible - ce que la plupart des pirates n’ont pas en général - ils font ça un peu au hasard, je ne crois pas qu’il testent tous les ports, ce sont les ports “classiques” qu’ils testent en priorité.[/quote]

Mais les premiers ports (les « classiques »?), ils sont réservés. Donc si t’as un serveur SSH, soit tu l’as sur le 22 soit au delà des 1024? non? C’est ce que je croyais en tout cas, je viens d’apprendre un truc ptête alors…

#120

Salut,

[quote=“giliam”]
Mais les premiers ports (les « classiques »?), ils sont réservés. Donc si t’as un serveur SSH, soit tu l’as sur le 22 soit au delà des 1024? non? C’est ce que je croyais en tout cas, je viens d’apprendre un truc ptête alors…[/quote]
Ils sont réservés “par convention”… Rien ne t’empêche de changer… En faisant attention de ne pas utiliser un port déjà utilisé bien sur…

[quote]laurent@siduxbox:~$ ssh -X -p 23 192.168.0.1
laurent@192.168.0.1’s password:
Linux spider.beronono.com 2.6.30-bpo.2-amd64 #1 SMP Fri Sep 18 11:50:10 UTC 2009 x86_64

bla-bla…

laurent@spider:~$[/quote]