Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 21-08-2018 16:20:49

MdgRUN
Membre
Lieu : La Réunion (974)
Distrib. : STRETCH
Noyau : Linux 4.9.0-4-amd64
(G)UI : Maté
Inscription : 27-09-2016

Surveillance des ports

Bonjour,

cherchant un affichage attrayant du réseau, j'ai trouvé ce fil:

https://debian-facile.org/doc:reseau:ntop et récupéré NTOP et même une variante NTOPN

 ntop -i wlp2s0 -w 3000

  se termine par :


 **ERROR** GeoIP: unable to load file GeoLiteCity.dat
Tue Aug 21 14:46:09 2018  GeoIP: loaded ASN config file /usr/share/ntop/GeoIPASNum.dat
Tue Aug 21 14:46:09 2018  NOTE: Interface merge enabled by default
Tue Aug 21 14:46:09 2018  INITWEB: Initializing web server
Tue Aug 21 14:46:09 2018  CHKVER: Checking current ntop version at version.ntop.org/version.xml
Tue Aug 21 14:46:09 2018  INITWEB: Initializing TCP/IP socket connections for web server
Tue Aug 21 14:46:09 2018  **ERROR** INITWEB: binding problem - 'Bad file descriptor'(9)
Tue Aug 21 14:46:09 2018  Check if another instance of ntop is running
Tue Aug 21 14:46:09 2018  or if the current user (-u) can bind to the specified port
Tue Aug 21 14:46:09 2018  **FATAL_ERROR** Binding problem, ntop shutting down...
Tue Aug 21 14:46:09 2018  CLEANUP[t139700643272896]: ntop caught signal 2 [state=2]
Tue Aug 21 14:46:09 2018  ntop is now quitting...



Lorsque je lance : 

 ntopng



cela se termine par :

 [HTTPserver.cpp:495] ERROR: Unable to start HTTP server (IPv4) on ports 3000: Address already in use
 



>>> sudo ss -antp | grep 3000
 



LISTEN     0      128         :::3000                    :::*                   users:(("ntopng",pid=1409,fd=16))



et :

sudo netstat -antp | grep 3000



tcp6       0      0 :::3000                 :::*                    LISTEN      1409/ntopng  




Cela veut-il dire que le port 3000 est déjà occupé par un protocole "tcp6" et qu'il ne peut pas recevoir,partager,  en IPv4?

Comment corriger le "descripteur de fichier " mentionné par NTOP ?
A quoi renvoie le (9) ?

En attendant merci à Mattux....et autres matelots..... smile


La bonne question est celle qui n'a pas été encore posée.

Hors ligne

#2 21-08-2018 16:30:15

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : Surveillance des ports

Salut,
cela veut dire que le port 3000 est écouté sur toutes les interfaces, et tous les protocoles, y compris en ipv4...

si tu refais :

kill -9 1409
ntopng



cela devrait tourner

Hors ligne

#3 22-08-2018 12:29:15

MdgRUN
Membre
Lieu : La Réunion (974)
Distrib. : STRETCH
Noyau : Linux 4.9.0-4-amd64
(G)UI : Maté
Inscription : 27-09-2016

Re : Surveillance des ports

Salut Freemaster.......ben NON !

Merci pour ta réponse mais as-tu une idée de la "capacité d'écoute" d'un port ? Y-a-t-il un tri d'effectué (ordre d'arrivée? type?...)

Dans mon cas particulier, j'ai "tué" le processus et pu vérifier qu'il réapparaît.

>>> sudo ss -antp | grep 3000



 LISTEN     0      128         :::3000                    :::*                   users:(("ntopng",pid=1404,fd=16))
 



 >>> sudo kill -9 1404



>>> sudo ss -antp | grep 3000



 LISTEN     0      128         :::3000                    :::*                   users:(("ntopng",pid=5019,fd=16))



et si je relance NTOPNG,  l'application me signale toujours le même  embouteillage:

 [HTTPserver.cpp:495] ERROR: Unable to start HTTP server (IPv4) on ports 3000: Address already in use
 

.........seul le N° ccp du serveur http a changé.

La commande

 ntopng -v

est certes plus bavarde....sans être concluante hmm


En interrogeant Manuel je trouve la possibilité de lancer NTOPNG démoniaquement roll

-e|--daemon
        This parameter causes ntop to become a daemon, i.e. a task which runs in the background without connection to
        a specific terminal. To use ntop other than as a casual monitoring tool, you probably will want to  use  this
        option.



alors que ma machine a plutôt besoin d'être exorcisée help.gif


La bonne question est celle qui n'a pas été encore posée.

Hors ligne

#4 22-08-2018 12:43:34

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : Surveillance des ports

Salut,

je pense que tu essaies de lancer manuellement un programme, qui est sans doute déjà lancé au boot...
et en tuant le daemon, il se relance automatiquement, nouveau pid...

mais celui déjà lancé, il ne fonctionne pas ?
as-tu essayé de te connecter à http://localhost:3000/ ?


ps : t'est pas un ancien du gral ?

Hors ligne

#5 26-08-2018 16:42:06

MdgRUN
Membre
Lieu : La Réunion (974)
Distrib. : STRETCH
Noyau : Linux 4.9.0-4-amd64
(G)UI : Maté
Inscription : 27-09-2016

Re : Surveillance des ports

Bonjour,

NTOPNG est bien un service qui réagit avec:

 service ntopng start/stop

en rajoutant mon mot de passe utilisateur big_smile

as-tu essayé de te connecter à http://localhost:3000/ ?



Tout à fait et à partir des pages ci-dessous:

https://johnnylinux.com/files/Documents … rGuide.pdf quitte à fréquenter les zombies et autres revenants out.gif
https://www.ntop.org/ntopng/best-practi … re-ntopng/

j'ai modifié

 gedit /etc/ntopng.conf

en constatant que :

" -w"  et "--http-port" NE sont PAS interchangeables......

J'ai ouvert NTOPNG , changé le pass d'ADMIN et crée un autre administrateur.

J'ai ciblé les interfaces surveillées et j'avoue que je suis bluffé par les retours.....avec une aide:
http://www.ntop.org/wp-content/uploads/ … ntopng.pdf

En attendant de ré-actualiser mes IPTABLES,  j'ai essayé de différencier :

-Une connexion HTTP pour LO, port classique 3000
- Une connexion HTTPS pour internet, port 3600 par ex.

Voici le retour:

An error occurred during a connection to 127.0.0.1:3006. SSL received a record that exceeded the maximum permissible length.
Error code: SSL_ERROR_RX_RECORD_TOO_LONG
The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.



Si je relance le navigateur en HTTP......c'est O.K.

  netstat | grep 3006



 tcp6       0      0 localhost:3006          localhost:60360         TIME_WAIT  
tcp6       0      0 localhost:3006          localhost:60362         TIME_WAIT  
 



Des idées humanisées?....... à partir de :
https://github.com/ntop/ntopng/blob/dev/doc/README.SSL ??

Comment faire le point sur mes clés dans ma machine?
Comment créer un protocole HtppS, ciblé sur un port?
Faut-il passer par la configuration de l'application concernée?

C'est peut-être aussi l'occasion de sécuriser le serveur REDIS qui est "rattaché" à NTOPNG scratchhead.gif

ps: Groupe de Recherches Activités Linguistiques ?....j'aurais aimé. smile mais je suis bien un "ancien"old_geek.gif


La bonne question est celle qui n'a pas été encore posée.

Hors ligne

#6 26-08-2018 17:10:45

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : Surveillance des ports

du https sur du localhost ?
si tu veux accéder à ton ntop depuis l’extérieur, ok, sinon je ne vois pas trop l’intérêt...

mais avec l'option --https-port=3006, et le certificat généré, cela devrait le faire


ps : je parle du groupement réunionnais smile

Hors ligne

#7 02-09-2018 14:04:56

MdgRUN
Membre
Lieu : La Réunion (974)
Distrib. : STRETCH
Noyau : Linux 4.9.0-4-amd64
(G)UI : Maté
Inscription : 27-09-2016

Re : Surveillance des ports

Bonjour Freemaster,

avec l'option --https-port=3006, et le certificat généré, cela devrait le faire



Tu suggères de  mettre l'option à

 service

??

Si je lance

 service ntopng --https-port=3006  start

ou par une inscription directe dans "/etc/ntopng.conf"

cela ne fonctionne pas sad

Je devrais m'attendre à une génération de certificat par qui ?idea.gif

du https sur du localhost ?



Je comprends ta surprise car à priori "localhost " n'est accessible que par l'interface "lo" ....n'hésite pas à rectifier pour repousser mes
approximations informatiqueskernal_panic.gif

Ici, c'est la liaison  Wi-fi  qui me semble source d'insécurité.......risque donné en information par le navigateur lors de l'ouverture en http.

D'autre part, il suffit de se servir de NMAP et NSTAT pour trouver les ports ouverts lancés par NTOPNG......heureusement que ma distribution
semble avoir une (suffisamment ? ) bonne configuration des IPTABLES en écartant les entrées du serveur graphique.

NTOPNG est une formidable présentation pédagogique à l'intérieur du réseau familial et j'espère qu'il va susciter des vocations gnulinux.png
En ce qui me concerne, je n'en suis que plus décidé à affiner les réglages des commandes qui le sous-tendent....sans service graphique wink

MANuel n'étant pas toujours le + accessible je conseille par exemple de se servir de ZENMAP pour découvrir les subtilités de NMAP.....
avant sos.gif......sur un bon forumdebian.png


La bonne question est celle qui n'a pas été encore posée.

Hors ligne

#8 02-09-2018 14:35:17

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : Surveillance des ports

Salut,

une option s'ajoute au binaire qui lance l'application, pas à service
donc le mieux oui c'est de le mettre dans le fichier de configuration

maintenant si tu génères pas le certificat ntopng-cert.pem, cela ne va pas se faire tout seul smile

Hors ligne

#9 09-09-2018 18:16:24

MdgRUN
Membre
Lieu : La Réunion (974)
Distrib. : STRETCH
Noyau : Linux 4.9.0-4-amd64
(G)UI : Maté
Inscription : 27-09-2016

Re : Surveillance des ports

Bonsoir Freemaster,

comment générer un certificat XXXX.pem ?

woohoo.gif

La bonne question est celle qui n'a pas été encore posée.

Hors ligne

#10 09-09-2018 21:56:26

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : Surveillance des ports

pourquoi tu veux générer XXXX.pem ? pour ntopng il doit s'appeler obligatoirement ntopng-cert.pem smile
https://github.com/xtao/ntopng/blob/master/README.SSL

Hors ligne

#11 16-09-2018 16:57:22

MdgRUN
Membre
Lieu : La Réunion (974)
Distrib. : STRETCH
Noyau : Linux 4.9.0-4-amd64
(G)UI : Maté
Inscription : 27-09-2016

Re : Surveillance des ports

Bonsoir Freemaster,

O.K. pour le lien.....mais  peux-tu en préciser le mode d'emploi?

 make cert ntopng-cert.pem
 


make: *** Aucune règle pour fabriquer la cible « cert ». Arrêt.



S'agit-il  d'une compilation à enclencher ?

OpenSSL est bien installé  et je ne m'en suis jamais servi "directement"help.gif

Merci pour ta patience.


La bonne question est celle qui n'a pas été encore posée.

Hors ligne

#12 16-09-2018 20:41:26

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : Surveillance des ports

je dirais

openssl req -new -x509 -sha1 -extensions v3_ca -nodes -days 3650 -keyout privkey.pem -out cert.pem
cat privkey.pem cert.pem > /usr/share/ntopng/httpdocs/ssl/ntopng-cert.pem
cd /usr/bin/
ln -s /usr/lib/x86_64-linux-gnu/libssl.so .
 



en root, si en user on t'en donne pas les droits de créer un lien symbolique smile

Dernière modification par Freemaster (16-09-2018 20:46:33)

Hors ligne

#13 25-09-2018 16:45:32

MdgRUN
Membre
Lieu : La Réunion (974)
Distrib. : STRETCH
Noyau : Linux 4.9.0-4-amd64
(G)UI : Maté
Inscription : 27-09-2016

Re : Surveillance des ports

Bonjour Freemaster,

merci pour ta formule:

openssl req -new -x509 -sha1 -extensions v3_ca -nodes -days 3650 -keyout privkey.pem -out cert.pem



mais si j'en crois le lien que tu m'as donné et celui-ci:

https://unix.stackexchange.com/question … and-md5sum

je vais m'en tenir à "-sha256 " et si "-days 365 " est une durée de validité
d'un an, cela me semble suffisant..... sauf si tu insistes pour que j'en prenne
pour 10 ans  roll

Sur ma machine, j'ai localisé mon dossier de partage NTOPNG en :

cat <(ls -la /usr/share/ntopng/httpdocs)


total 48
drwxr-xr-x 10 root root 4096 août  19 19:09 .
drwxr-xr-x  4 root root 4096 août  19 19:09 ..
lrwxrwxrwx  1 root root   26 avril 15  2016 bootstrap -> ../../javascript/bootstrap
drwxr-xr-x  2 root root 4096 août  19 19:09 css
-rw-r--r--  1 root root 1406 nov.  30  2015 favicon.ico
drwxr-xr-x  3 root root 4096 août  19 19:09 font-awesome
drwxr-xr-x  2 root root 4096 août  19 19:09 geoip
drwxr-xr-x  4 root root 4096 août  19 19:09 img
drwxr-xr-x  2 root root 4096 août  19 19:09 inc
drwxr-xr-x  2 root root 4096 août  19 19:09 js
drwxr-xr-x  2 root root 4096 août  19 19:09 misc
drwxr-xr-x  2 root root 4096 août  19 19:09 other
-rw-r--r--  1 root root  242 nov.  30  2015 test.lp
 



Le dossier /ssl/ manque à l'appel.....et :

cat <(ls -la /usr/local/share/)



total 40
drwxr-xr-x 10 root root  4096 mai   21 11:37 .
drwxr-xr-x 10 root root  4096 déc.  24  2017 ..
drwxr-xr-x  2 root root  4096 déc.  24  2017 ca-certificates
drwxrwsr-x  3 root staff 4096 déc.  24  2017 emacs
drwxrwsr-x  2 root staff 4096 déc.  24  2017 fonts
drwxr-xr-x  3 root root  4096 déc.  24  2017 gwibber
drwxr-xr-x  2 root root  4096 déc.  24  2017 man
drwxrwsr-x  7 root staff 4096 mai   21 11:37 sgml
drwxrwsr-x  2 root staff 4096 avril  4 15:42 texmf
drwxrwsr-x  6 root staff 4096 mai   21 11:37 xml
 



.....pas de /ntopng

 cat <(ls -la /usr/lib/x86_64-linux-gnu | grep libssl*)



lrwxrwxrwx   1 root root       16 janv. 26  2018 libssh2.so.1 -> libssh2.so.1.0.1
-rw-r--r--   1 root root   166984 févr. 16  2017 libssh2.so.1.0.1
lrwxrwxrwx   1 root root       22 janv. 26  2018 libssh-gcrypt.so.4 -> libssh-gcrypt.so.4.4.1
-rw-r--r--   1 root root   300568 mars  25  2016 libssh-gcrypt.so.4.4.1
lrwxrwxrwx   1 root root       30 janv. 26  2018 libssh-gcrypt_threads.so.4 -> libssh-gcrypt_threads.so.4.4.1
-rw-r--r--   1 root root     6288 mars  25  2016 libssh-gcrypt_threads.so.4.4.1
-rw-r--r--   1 root root   307616 sept. 29  2017 libssl3.so
lrwxrwxrwx   1 root root       10 janv. 26  2018 libssl3.so.1d -> libssl3.so
 



Je suis surpris que la commande ci-dessus me renvoie AUSSI les libssh...

Voici ce que contient mon repertoire /usr/local/bin/

cat <(ls -la /usr/local/bin)



total 8
drwxr-xr-x  2 root root 4096 juin  28 15:59 .
drwxr-xr-x 10 root root 4096 déc.  24  2017 ..
lrwxrwxrwx  1 root root   27 juin  28 15:59 etcher-electron -> /opt/Etcher/etcher-electron



En me lançant dans la création d'un certificat auto-signé pour cette application
je devrais aussi avoir à protéger REDIS, le serveur associé .
J'ouvre un autre sujet pour cela?
Ou est-ce le moment d'envisager de grouper mes clés sur cette machine?

Qu'en dis-tu?  Merci d'avance pour les pistes à suivre.scratchhead.gif


La bonne question est celle qui n'a pas été encore posée.

Hors ligne

#14 25-09-2018 16:47:44

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Surveillance des ports

MdgRUN a écrit :

je devrais aussi avoir à protéger REDIS, le serveur associé .
J'ouvre un autre sujet pour cela?


13  posts seulement, continue ici... smile


"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#15 25-09-2018 18:32:37

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : Surveillance des ports

MdgRUN a écrit :

Le dossier /ssl/ manque à l'appel.....et :


alors oui il semblerait qu'il y a un bug avec la version de la distrib...
et même en le créant, le ssl n'est pas pris en compte !

alors soit tu pars sur une version à compiler, depuis github.com, et au passage tu auras une version à jour (3.6), car celle de la distrib date un peu (2.4)
soit on contourne le problème avec un reverse proxy ssl

Hors ligne

#16 27-09-2018 15:04:06

MdgRUN
Membre
Lieu : La Réunion (974)
Distrib. : STRETCH
Noyau : Linux 4.9.0-4-amd64
(G)UI : Maté
Inscription : 27-09-2016

Re : Surveillance des ports

Bonjour Freemaster,

alors oui il semblerait qu'il y a un bug avec la version de la distrib...



.......à signaler ?

Je ne suis pas un forcené de la modernité et sans pb de sécurité je veux bien garder une version "un peu datée" old_geek.gif

Par contre, ta proposition de reverse-proxy me tente tongue......quitte à compiler ensuite cool

Reste à bien préciser  lequel.......en sachant qu'apache2 est déjà présent et qu'il vaut mieux tabler sur une simplicité certaine......sans vouloir sous-estimer
les aides pro idea.gif du forum.

@ Smolski

13  posts seulement, continue ici...

compte sur ta patience et la qualité de mon interface "chaise-clavier" coffeecup.gif

Tant que la distribution de chocolat n'est pas rationnée.....:P


La bonne question est celle qui n'a pas été encore posée.

Hors ligne

#17 05-10-2018 14:14:55

MdgRUN
Membre
Lieu : La Réunion (974)
Distrib. : STRETCH
Noyau : Linux 4.9.0-4-amd64
(G)UI : Maté
Inscription : 27-09-2016

Re : Surveillance des ports

Bonjour,

je constate avec plaisir que les "patrons de conception" ne manquent pas.
https://httpd.apache.org/docs/current/f … proxy.html

J'aimerai profiter de l'occasion pour prévoir un aménagement de ma machine en
serveur de courriels, pages persos.... par exemple.

Le tout serait de le faire proprement comme l'indique CPTNFAB: yes.gif
https://debian-facile.org/atelier:chant … rivoxy-tor

Alors conteneur (LXC ? ) ou pas ?

Si oui, devra-t-il contenir APACHE et REDIS et..? question.gif

Je doute un peu que vous me demandiez de prévoir un SQUID cthulhu.gif par dessus tout cela,
mais je suis prêt à envisager "Lighttpd".....

Avant de diviser mon IP publique en 2,quels tests faire passer au proxy mis en place par mon FAI?  scratchhead.gif

La bonne question est celle qui n'a pas été encore posée.

Hors ligne

#18 14-10-2018 16:34:55

MdgRUN
Membre
Lieu : La Réunion (974)
Distrib. : STRETCH
Noyau : Linux 4.9.0-4-amd64
(G)UI : Maté
Inscription : 27-09-2016

Re : Surveillance des ports

Bonsoir,

j'ai plutôt décider d'y aller plus progressivement en faisant confiance aux développeurs de NTOPNG smile

https://www.ntop.org/ntopng/best-practi … re-ntopng/
en me recentrant sur REDIS :

REDIS est un serveur utilisé par NTOPNG pour gérer la résolution des DNS...
entr'autres.

Par défault, il n'écoute que sur l'adresse en boucle 127.0.0.1 de la machine
locale et il démarre sans mot de passe.

On peut lui en attribuer un  en le spécifiant dans son fichier de configuration

/etc/redis/redis.conf.....qu'il vaut mieux filtrer avec "grep ":

cat /etc/redis/redis.conf | grep requirepass


# If the master is password protected (using the "requirepass" configuration
# requirepass foobared
 



Avec une recommandation: roll

# Warning: since Redis is pretty fast an outside user can try up to
# 150k passwords per second against a good box. This means that you should
# use a very strong password otherwise it will be very easy to break.
#
# requirepass foobared
 




Qu'est-ce donc qu'un super mot de passe bien costaud? scratchhead.gif

Puis-je me contenter d'un:

 echo "REDISecreTEST" | openssl enc -base64
UkVESVNlY3JlVEVTVAo=
 



à placer en option dans NTOPNG :

" --redis=127.0.0.1:6379:UkVESVNlY3JlVEVTVAo="



ou une véritable "poignée de main" est-elle envisageable? guantas.png

1-Création d'une clé privée RSA avec

openssl genrsa -out MaCLErsa.priv 512


2-Chiffrage de la clé privée (choix d' algorithme DES, DES3,IDEA.......)
et création d'une clé publique associée à la clé privée dans un fichier XXX.pem

openssl rsa -in MaCLErsa.priv -des3 -out MaCLE.pem
 



La meilleure place pour celle-ci étant /etc/redis ?

L'autre solution proposée étant de créer un "socket" dédié, j'ai actuellement :

cat /var/run/redis/redis-server.pid
 



1238



Créer un nouveau "point de connexion" est-ce un bon tuyau? idea.gif

Ref: http://sdz.tdct.org/sdz/les-sockets.html


La bonne question est celle qui n'a pas été encore posée.

Hors ligne

Pied de page des forums