@lol: le tuto sur la page du wiki est complètement opérationnelle donc?
Config … (?)
Salut,
Oui, bien sur, je ne me vois pas poster un papier non testé… 
Il peut y avoir des boulettes ou des phrases pas très claires, mais sinon, oui il est opérationnel.
J’ai fait ce papier car tout ce que j’ai trouvé sur le net est vieux, ou copié/collé d’un autre tuto…
C’est très rapide à mettre en place.
Le seul point que je n’ai pas abordé c’est iptables, et il faudrait que j’ajoute quelque chose dessus. Si tu as suivi la discussion, il faut avoir des ports ouverts non occupés par des programmes pour que ce soit fonctionnel.
Mais je n’ose pas encore en parler sur le wiki, car du point de vue de la sécurité, je n’ai pas l’absolue certitude que ce n’est pas dangereux.
Je ne vois pas comment ça pourrait l’être, et personne ici ou sur “la liste” ne m’a traité de fou… 
Donc à mon avis c’est sans soucis.
Oui, je me doutais un peu que le tuto puisque inclut dans le wiki est donc opérationnel mais plus haut, tu dis que ton système ne fonctionnait pas.
Je pensais que le tuto du wiki devait être corrigé…
Voilà…sinon 
Au sujet de ports non protégés, j’ai obtenu cette réponse:
[quote]Le seul danger que je pourrai voir c’est qu’une personne ayant obtenu un
accès utilisateur à ton serveur puisse mettre un service en écoute sur
l’un de ses ports (netcat par exemple). Sauf que les simple utilisateurs
ne sont pas en mesure de mettre un service en écoute sur un port
inférieur à 1024.
$ nc -l 22
nc: Permission denied
Hormis ça, je ne pense pas que ca soit gênant.[/quote]
Donc ça se tient mon histoire, d’autant que tous mes utilisateurs sont dans un jail… 
portsentry n’écoute pas les ports ouverts ? Comment fait-il pour les analyses ? 
Il faut un/des port(s) libre(s) (non occupées par un/des processus) ET ouverts (non bloqués par iptables).
Il faut un/des port(s) libre(s) (non occupées par un/des processus) ET ouverts (non bloqués par iptables).[/quote]
Oui mais il y fait quoi s’il ne les écoute pas ? Mis à part un module noyau qui se grefferais sur la pile IP.
Un petit netstat -tpul lol ?
Avec plaisir +antalgeek!
# netstat -tpul
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 localhost.localdo:10024 *:* LISTEN 3191/amavisd (maste
tcp 0 0 localhost.localdo:10025 *:* LISTEN 31161/master
tcp 0 0 localhost.localdo:mysql *:* LISTEN 10008/mysqld
tcp 0 0 *:pop3 *:* LISTEN 3375/dovecot
tcp 0 0 *:imap2 *:* LISTEN 3375/dovecot
tcp 0 0 *:10999 *:* LISTEN 2890/sshd
tcp 0 0 *:ftp *:* LISTEN 6924/pure-ftpd (SER
tcp 0 0 machine.domaine:domain *:* LISTEN 2882/named
tcp 0 0 localhost.locald:domain *:* LISTEN 2882/named
tcp 0 0 *:smtp *:* LISTEN 18393/smtpd
tcp 0 0 localhost.localdoma:953 *:* LISTEN 2882/named
tcp 0 0 *:imaps *:* LISTEN 3375/dovecot
tcp 0 0 *:pop3s *:* LISTEN 3375/dovecot
tcp6 0 0 [::]:http-alt [::]:* LISTEN 7184/apache2
tcp6 0 0 [::]:www [::]:* LISTEN 7184/apache2
tcp6 0 0 [::]:tproxy [::]:* LISTEN 7184/apache2
tcp6 0 0 [::]:10999 [::]:* LISTEN 2890/sshd
tcp6 0 0 [::]:ftp [::]:* LISTEN 6924/pure-ftpd (SER
tcp6 0 0 [::]:domain [::]:* LISTEN 2882/named
tcp6 0 0 ip6-localhost:953 [::]:* LISTEN 2882/named
tcp6 0 0 [::]:https [::]:* LISTEN 7184/apache2
udp 0 0 machine.domaine:domain *:* 2882/named
udp 0 0 localhost.locald:domain *:* 2882/named
udp6 0 0 [::]:domain [::]:* 2882/named
# iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
...
-A INPUT -i eth0 -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 23 -j ACCEPT
...
Les bots de scan se font tous toper sur le port 23:
Oct 31 00:04:10 ns387444 portsentry[17527]: attackalert: TCP SYN/Normal scan from host: 201.230.95.206/201.230.95.206 to TCP port: 23
Nov 1 03:17:13 ns387444 portsentry[17527]: attackalert: TCP SYN/Normal scan from host: 190.233.217.128/190.233.217.128 to TCP port: 23
Nov 1 07:23:01 ns387444 portsentry[17527]: attackalert: TCP SYN/Normal scan from host: 209.112.223.162/209.112.223.162 to TCP port: 23Ben je ne vois personne sur le port 23 là-dedans.
J’y regarderai ce soir.
[quote=“antalgeek”]Ben je ne vois personne sur le port 23 là-dedans.
J’y regarderai ce soir.[/quote]
Vu la réponse que lol a eu il n’écoute pas sur le port, sinon ça empêcherais tout autre processus à écouter sur ce même port.
[quote=“MisterFreez”][quote=“antalgeek”]Ben je ne vois personne sur le port 23 là-dedans.
J’y regarderai ce soir.[/quote]
Vu la réponse que lol a eu il n’écoute pas sur le port, sinon ça empêcherais tout autre processus à écouter sur ce même port.[/quote]
Seul portsentry est lié au port 23, mais il n’est pas listé des les processus qui écoutent sur ce port. Ça ne doit pas fonctionner comme les processus, mais là, je ne suis pas capable de vous en dire plus…
Oct 30 20:40:51 ns387444 portsentry[17527]: adminalert: Advanced mode will monitor first 1024 ports
Oct 30 20:40:51 ns387444 portsentry[17530]: adminalert: PortSentry 1.2 is starting.
Oct 30 20:40:51 ns387444 portsentry[17527]: adminalert: Advanced mode will manually exclude port: 113
Oct 30 20:40:51 ns387444 portsentry[17527]: adminalert: Advanced mode will manually exclude port: 139
Oct 30 20:40:51 ns387444 portsentry[17527]: adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 21
Oct 30 20:40:51 ns387444 portsentry[17527]: adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 25
Oct 30 20:40:51 ns387444 portsentry[17527]: adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 53
Oct 30 20:40:51 ns387444 portsentry[17527]: adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 80
Oct 30 20:40:51 ns387444 portsentry[17527]: adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 110
Oct 30 20:40:51 ns387444 portsentry[17527]: adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 143
Oct 30 20:40:51 ns387444 portsentry[17527]: adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 443
Oct 30 20:40:51 ns387444 portsentry[17527]: adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 953
Oct 30 20:40:51 ns387444 portsentry[17527]: adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 993
Oct 30 20:40:51 ns387444 portsentry[17527]: adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 995
Oct 30 20:40:51 ns387444 portsentry[17527]: adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 113
Oct 30 20:40:51 ns387444 portsentry[17527]: adminalert: Advanced Stealth scan detection mode activated. Ignored TCP port: 139
Oct 30 20:40:51 ns387444 portsentry[17527]: adminalert: PortSentry is now active and listening.
Automatiquement il ignore les ports occupés et se “lie” (to bind dans le man) aux ports disponibles.
Tout ce que je sais, c’est que les petits malins qui balancent des scans sont piégés.
[quote=“MisterFreez”][quote=“antalgeek”]Ben je ne vois personne sur le port 23 là-dedans.
J’y regarderai ce soir.[/quote]
Vu la réponse que lol a eu il n’écoute pas sur le port, sinon ça empêcherais tout autre processus à écouter sur ce même port.[/quote]
Il occupe les ports disponibles, il ne risque pas de gêner les autres services.
Avec netstat je voulais savoir s’il se faisait passer pour un processus en service sur un port donné…c’est pas le cas.
Je n’ai plus qu’à potasser la doc.
Re,
Je n’ai rien trouvé de précis dans la doc ou le man qui viennent avec le deb.
Pas plus que sur ipv6 d’ailleurs…
Il faut chercher ailleurs.
“May the source be with you”
Ben portsentry ouvre bien des sockets AF_INET sur des ports.
Il doit y avoir une subtilité quelque part pour que netstat ne le voit pas, je vais me l’installer et faire des essais avec différentes options de netstat.
netstat -taupe et netstat -lapute, bizarrement les deux que je retiennent facilement 
C’est beau la mnémotechnie… 
[quote=“antalgeek”]Ben portsentry ouvre bien des sockets AF_INET sur des ports.
Il doit y avoir une subtilité quelque part pour que netstat ne le voit pas, je vais me l’installer et faire des essais avec différentes options de netstat.[/quote]
Si tu as besoin d’un volontaire pour torturer tes ports…
Il serait d’ailleurs intéressant, pour éviter les scans au dessus du port 1024, de faire quelques trappes… Ça doit pouvoir se configurer.