Salut,
J’aimerais que quelqu’un fasse un nmap sur l’ip de mon dédié afin de vérifier si mon portsentry est bien configuré.
Je donnerais mon ip par MP.
Merci.
Je veux bien mais en échange il faudrait me faire une tentative de DoS sur mon SMTP. Et je suis sérieux 
Avec plaisir! 
Je scane quand tu veux 
Merci beaucoup, j’ai trouvé mon volontaire.
Résultat… Mon système de détection ne fonctionne pas… 
A revoir!
Merci beaucoup, j’ai trouvé mon volontaire.
Résultat… Mon système de détection ne fonctionne pas… A revoir![/quote]
Ben je ne sais pas trop j’ai eu des résultats étranges quand même 
Tu aurais du être bloqué au premier port touché… Ce n’est pas le cas.
Ce qui est “drôle” c’est qu’en local sur une squeeze, j’ai de très bons résultats. j’ai même du mal à me débloquer…
Sur mon dédié, ça ne réagit pas… 
Et pourtant:
service portsentry restart && tail -f /var/log/syslog | grep portsentry
Stopping anti portscan daemon: portsentry.
Starting anti portscan daemon: portsentry in atcp & audp mode.
Oct 29 10:11:57 nsXXXXXX portsentry[21481]: adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 110
Oct 29 10:11:57 nsXXXXXX portsentry[21481]: adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 143
Oct 29 10:11:57 nsXXXXXX portsentry[21481]: adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 443
Oct 29 10:11:57 nsXXXXXX portsentry[21481]: adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 953
Oct 29 10:11:57 nsXXXXXX portsentry[21481]: adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 993
Oct 29 10:11:57 nsXXXXXX portsentry[21481]: adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 995
Oct 29 10:11:57 nsXXXXXX portsentry[21481]: adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 113
Oct 29 10:11:57 nsXXXXXX portsentry[21481]: adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 139
Oct 29 10:11:57 nsXXXXXX portsentry[21481]: adminalert: PortSentry is now active and listening.
Oct 29 10:11:57 nsXXXXXX portsentry[21485]: adminalert: Advanced mode will monitor first 1024 ports
Oct 29 10:11:57 nsXXXXXX portsentry[21485]: adminalert: Advanced mode will manually exclude port: 520
Oct 29 10:11:57 nsXXXXXX portsentry[21485]: adminalert: Advanced mode will manually exclude port: 138
Oct 29 10:11:57 nsXXXXXX portsentry[21485]: adminalert: Advanced mode will manually exclude port: 137
Oct 29 10:11:57 nsXXXXXX portsentry[21485]: adminalert: Advanced mode will manually exclude port: 67
Oct 29 10:11:57 nsXXXXXX portsentry[21485]: adminalert: Advanced Stealth scan detection mode activated. Ignored UDP port: 53
Oct 29 10:11:57 nsXXXXXX portsentry[21485]: adminalert: Advanced Stealth scan detection mode activated. Ignored UDP port: 520
Oct 29 10:11:57 nsXXXXXX portsentry[21485]: adminalert: Advanced Stealth scan detection mode activated. Ignored UDP port: 138
Oct 29 10:11:57 nsXXXXXX portsentry[21485]: adminalert: Advanced Stealth scan detection mode activated. Ignored UDP port: 137
Oct 29 10:11:57 nsXXXXXX portsentry[21485]: adminalert: Advanced Stealth scan detection mode activated. Ignored UDP port: 67
Oct 29 10:11:57 nsXXXXXX portsentry[21485]: adminalert: PortSentry is now active and listening.
PS: C’est un peu merdique la limitation de largeur du [code] 
[quote=“lol”]
PS: C’est un peu merdique la limitation de largeur du [code] [/quote]
Il faudrait plutôt des ascenseur mais j’en suis pas fana 
Rooh, installez Stylish, z’êtes des geeks oui ou non ?
Blague à part, faut croire qu’Ed a trouvé que le problème de déformation du forum était suffisamment grave pour mériter de bloquer les blocs de code à 1100 pixels, faute de pouvoir les limiter à la largeur réelle de l’écran. (pourtant ça arrive pas souvent, mais c’est vrai que le peu de fois où ça arrive c’est bien chiant)
Moi je n’ai fait que remonter l’info en précisant bien que je n’avais pas trouvé de solution satisfaisante pour tous les écrans (je défends mon bifteck avant de me faire alpaguer par une bande de barbus )
T’inquiète pas…
Je viens de voir que mon [code] est revenu à la normale… ? Quelqu’un est intervenu ? Fallait pas juste parce que j’ai râlé… 
Salut,
Bon, je crois que j’ai compris pourquoi portsentry ne détectais rien…
Le parefeu. iptables, trop bien configuré, ne laisse rien passer sur les ports fermés sur lesquels portsentry “écoute”…
En mettant ceci:
iptables -t filter -P INPUT ACCEPTTous les scans sont détectés et bloqués.
Mais bon… est-ce que ça vaut le coup d’avoir portsentry efficace, et INPUT réglé sur ACCEPT ?
Re,
Bon je me répond à moi même…
Il suffit que j’ouvre deux-trois ports dont je ne me sert pas (le 22 par exemple…) et roule ma poule, ça marche.
Merci +antalgeek pour les scans! 
J’avais des réticences à ouvrir 2/3 ports chez moi, le tout est bloqué via iptables.
Dans ce cas, comme tu le dis, cela vaut le coup d’installer et de configurer portsentry.
Je vais tester pour voir…
Une question con : tu n’as pas de serveur externe à partir du quel tu aurais pu faire tes propres scans via ssh ?
Il me semblait avoir compris le contraire dans un autre topic, enfin je peux me tromper.
[quote=“arnaud_k”]J’avais des réticences à ouvrir 2/3 ports chez moi, le tout est bloqué via iptables.
Dans ce cas, comme tu le dis, cela vaut le coup d’installer et de configurer portsentry.
Je vais tester pour voir…
Une question con : tu n’as pas de serveur externe à partir du quel tu aurais pu faire tes propres scans via ssh ?
Il me semblait avoir compris le contraire dans un autre topic, enfin je peux me tromper.[/quote]
Aucun programme n’écoute sur les ports ouverts, donc je ne crois pas que ce soit dangereux (je vais quand même vérifier…) mais du coup ça me permet de voir les petits malins qui tentent des scans, et de bloquer les ip - du coup ils n’ont pas la possibilité se martyriser les ports découverts…
Je n’ai qu’une seule connexion, donc pas possible de jouer au con avec (ip fixe en plus…).
Les serveurs que j’ai sont des mutualisés, pas de nmap dispo dans le jailshell…
Je me demande si c’est si intéressant que ça. Tu bloque tout sauf quelques ports, tu met un fail2ban pour empêcher les intrus de martyriser les ports ouverts.
[quote=“MisterFreez”]
Je me demande si c’est si intéressant que ça. Tu bloque tout sauf quelques ports, tu met un fail2ban pour empêcher les intrus de martyriser les ports ouverts.[/quote]
A moins que tu soit joueur avec un petit pot de miel mais bon c’est vrai que je ne m’en sert plus.
Ben l’intérêt de n’avoir aucun port visible par rapport à une solution comme fail2ban est qu’on a aucune tentative de connexion, de force brute ou de vacherie.
C’est exactement ça.
De plus fail2ban a ses limites, il n’est pas fiable à 100% --> bugs.debian.org/cgi-bin/bugreport.cgi?bug=554162
Si fail2ban tombe en rade t’as l’air con avec tes ports ouverts non protégés…
L’objectif n’est pas de faire de la surenchère de protection, je sais que ça ne sert à rien; Mais bien de ne pas avoir de port visible (en prime de bloquer les ip des indélicats).
Comme le dit si bien Antalgeek, ça limite les vacheries, et économise la bade passante… 
Donc, la question reste, je n’ai pas encore trouvé de réponse:
Est-ce dangereux d’avoir des ports (sur lesquels aucun programme n’écoute) ouverts ?
J’ai déjà eu le cas d’ip non bloquées par fail2ban lors d’attaques. Depuis j’ai laissé tomber ce genre de “protection”, j’ai des logs longs comme le bras, des mots de passe musclés et je surveille ce qui se passe.
Par contre je vais regarder du côté de portsentry parce que je me suis mangé une grosse porte fermée et ça m’amuse.