[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux] nmap -ports ouverts ?
On Sun, Apr 15, 2001 at 10:55:31AM +0200, Philippe CHARLIER wrote:
> Petite precision : je n'y connais pas grand chose en reseaux.
> Me documenter sur le sujet fait partie de ma liste de "Y a qu'a" mais je n'ai
> pas encore eu le temps. Donc, je sais qu'il y a des man, howtos, etc. Mais
> je ne les ai pas encore lu.
Tsss.
> Je pose donc la question suivante avec comme intention :
> "C'est grave docteur ?" <a lire avec un tremolo d'inquietude dans la voix>
Je vais répondre comme un docteur. "Non mais..." suivi de longues explications techniques incompréhensibles par le commun des mortels.
> Dans le "Planete Linux d'avril", il y a un article "Partager sa machine
> Linux" et un paragraphe "Securiser votre serveur".
> Ils conseillent d'utiliser la commande nmap -p 1- <adresse ip> pour voir les
> ports ouverts et conseillent de les fermer.
Lis déjà la doc de nmap. C'est un outil formidable, extrêmement puissant mais il faut lire la doc...
Avant de continuer, j'aurais aimé savoir quelle distrib tu utilises.
Si tu as xinetd, tu peux le configurer pour la plupart de tes services pour qu'il n'accepte que les requêtes de ton réseau local. C'est ce que je fais avec ma ligne ADSL.
Sinon, tu peux configurer le filtrage IP du noyau pour trasher certains ports.
> (The 65526 ports scanned but not shown below are in state: closed)
Ceci n'a que peu d'intérêt pour toi.
> Port State Service
> 53/tcp open domain
Attention. Tu as un DNS qui tourne. Vérifie qu'il n'est pas sensible au gouffre de sécurité découvert il n'y a pas tellement longtemps. Installe les patches de bind.
Surtout ne pas désactiver celui-ci pour l'extérieur, sinon vos requêtes DNS n'auront pas de réponse.
> 515/tcp open printer
Je suppose que tu as une imprimante. Bloque ce port pour accès interne uniquement. Il n'est démarré par inetd, donc il faut voir la config du daemon ou filtrer dans le noyau.
> 631/tcp open unknown
> 1024/tcp open kdm
> 1025/tcp open listen
> 1125/tcp open unknown
> 5432/tcp open postgres
Grosso modo pareil que pour le 515.
> 6000/tcp open X11
Attention aux xhost abusifs. La façon d'exploiter ça est à discuter mais c'est peu risqué.
> C'est dangereux point de vue securite tout cela.
Reste à jour pour les updates de sécurité et ça ira. Lis tes logs aussi. Perso, j'ai un service dummy pour que quelqu'un scannant mon réseau soit aussitôt ajouté dans le filtre input en DENY. Ca ne marche pas avec lesSYN scans et est risqué en mode decoy mais c'est déjà bien pour éviter les kiddies qui ne lisent pas la doc de nmap... ;-)
> Ceci dit, je ne suis pas la NASA, je ne ressent pas non plus le besoin d'etre
> dans une forteresse.
Tu VAS te faire attaquer avec une connexion cable. Garanti.
Il y a plein d'autres aspects à la sécurité mais je n'ai pas le temps d'en discuter maintenant.
Eric.
[ Soyez précis dans vos sujets svp afin de déterminer directement ]
[ le type de demande... ]
[ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php ]
[ http://LinuxBe.org Contact: listmaster@linuxbe.org ]