Vous n'êtes pas identifié(e).
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
Je ne vois pas pour ma part de restriction dans l'administration sous sudo.
Tu fais bien comme tu veux.
Toutefois, pour des opérations d'envergure en nombre et en temps, de passer par su avec l'option trait (-) est bien plus confortable.
Tout dépend aussi de qui de confiance ou non à un accès physique au bignou.
Tchap !
Dernière modification par smolski (27-11-2012 09:47:46)
saque eud dun (patois chtimi : fonce dedans)
Hors ligne
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
sudo allows a permitted user to execute a command as the superuser or
another user, as specified by the security policy.
Donc la commande est éxécutée comme si tu étais root
Le terminal administrateur reviens à lancer la commande gksu gnome-terminal, donc ce n'est absolument pas plus sécurisé que de taper su dans un terminal pour passer root ou que d'utiliser sudo, c'est juste pratique.
Bref dès que tu passes root, tu es potentiellement en danger, toujours garder ça en mémoire
L'avantage de sudo, et je pense que c'est une des raisons pour laquelle il a été choisis pour ubuntu, c'est que tu perd les droits root au bout d'un certain temps. Ce qui peut éviter des accidents pour les têtes en l'air comme moi
Bon apres la difference entre sudo et su -c c'est trop subtil pour moi
Pour les script de démarrage, basiquement il s'agit des scripts d'initialisation des daemons (services) se trouvant dans /etc/init.d et qu'on peut démarrer depuis quelques temps en utilisant la commande service. Ainsi, on peut créer un script dans /etc/init.d pour lancer un logiciel en tant que daemon au démarrage du système.
Pour en savoir plus il faut s'intéresser au mode de démarrage de linux (init) et au niveaux de demarrage ( run level)
Quelques liens pour approfondir car je ne suis pas spécialiste
http://www.karlesnine.com/2005/06/15/de … date-rc-d/
http://www.gcolpart.com/howto/runlevel.php4
http://www.generation-linux.fr/index.ph … -runlevels
http://fr.wikipedia.org/wiki/Run_level
http://www.debian.org/doc/manuals/debia … 03.fr.html
Dernière modification par vince06fr (27-11-2012 17:42:53)
Hors ligne
2: ensuite on réinitialise iptables comme cela
3: ensuite on édite ton ufw.conf
et on met ENABLED=yes
appuie (dans cet ordre)sur ctrl+o (lettre o) , puis touche entrée ,puis ctrl+X
puis
4: loggue toi sous ta session graphique et vérifie que ufw soit lancé de lui même par cette commande
Et là tu obtiens normalement ça : -> Status: active
5: si réponse positive, continue les autres commandes en root
6: tu as finis, parfait. Par contre si l'étape 4 (la vérif du lancement échoue c-a-d status inactive) alors que tu as bien modifié et enregistré les fichiers en tant que root, je ne comprends plus d'autant plus que tu es sur stable
Que le ciel te tienne en joie.
Lorus.
Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.
Hors ligne
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
2) suppression des liens dans /etc/rc?.d
explication :
Quand on appelle update-rc.d avec l’option remove les liens dans les
répertoires /etc/rcrunlevel.d qui pointent vers le script
/etc/init.d/name. sont supprimés. Ce script doit déjà avoir été sup?
primé -- update-rc.d vérifie cela.
Dernière modification par vince06fr (28-11-2012 09:33:51)
Hors ligne
Merci à vous deux.
Il me faut du temps pour voir cela en détail, ...
j'y reviendrais plus tard plutot que faire n'importe quoi en vitesse.
Ç a vaut le coup d'y revenir, je te donne ma config de base:
Et les résultats en image, ma machine est en DMZ (le pare feu matériel de ma box ne la protège pas), et je la soumets aux tests:
Lorus.
Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.
Hors ligne
Restait le test :
J'ai suivi le lien et le lien a voulu m'enmener chez ses potes facebookés ... j'ai tiqué; Comment faire ?
Plus sérieusement :
quel crédit accorder à un site quand votre système est ouvert à tous vents et que vous lui demandez de le vérifier ?
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
mais le nouveau problème persiste :
en relevant mes boites mails, Evolution bloque "en attente" et il ne me présente plus le dialogue d'identification pour chaque compte.
Je ne sais plus que faire.
Une piste ?
Quels services sont nécessaires exactement, au minimum ?
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
Dernière modification par vince06fr (06-12-2012 08:52:18)
Hors ligne
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
Et la question qui tue :
C'est quoi la différence dans ""port 587 ou 465 en ssl"".
Pan !
Les clients de messagerie utilisaient aussi le port 25 (smtp) pour soumettre des messages en utilisant le protocole SMTP. Mais la nécessité de mieux contrôler les envois des clients, en particulier par l'authentification, a conduit à l'attribution du port 587 (submission)1.
Les administrateurs de serveur peuvent choisir si les clients utilisent le port TCP 25 (SMTP) ou le port 587 (soumission), tel que formalisé dans la RFC 6409 (RFC 2476 précédemment), pour relayer le courrier sortant vers un serveur de messagerie. Les spécifications et de nombreux serveurs supportent les deux. Bien que certains serveurs prennent en charge le port 465 (historique) pour le SMTP sécurisé en violation des spécifications, il est préférable d'utiliser les ports standards et les commandes ESMTP standard 2 selon la RFC 3207, si une session sécurisée doit être utilisée entre le client et le serveur.
Source : http://fr.wikipedia.org/wiki/Simple_Mai … r_Protocol
C'est une généralité mais chaque "prestataire" peut choisir une configuration légèrement différente!
Sur quel hébergeur est ta boite email? Quel est ta configuration par défaut dans évolution? Donne moi un exemple sans tes identifiants bien entendu, merci.
Par exemple sur mailoo (mon cas), tu as deux manière de sécuriser le protocol : POPS | 995 (SSL/TLS), IMAPS | 993 (SSL/TLS) ou SMTPS |25 ou 225 (avec port alternatif)
Édit:
Exemple de ma configuration évolution "réception du courrier"
pops.mailoo.org:995
Les deux points précise le port que doit utiliser évolution (995) dans mon cas!
Dernière modification par lorus (06-12-2012 11:32:06)
Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.
Hors ligne
Sinon, à mon avis, interdire le trafic sortant ne présente pas beaucoup d’intérêt à part celui de te compliquer la vie
C'est vrai que cela peut paraître rébarbatif, cependant j'aime mieux tout bloquer par défaut et autoriser que le strict minimum sortant pour mes besoins
C'est un héritage d'openbsd... qui est devenu une habitude chez moi , mais ce n'est pas vital
Lorus.
Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.
Hors ligne
j'aime mieux tout bloquer par défaut et autoriser que le strict minimum sortant pour mes besoins
C'est ce qui est recommandé la plupart du temps aux michus comme moi.
C'est compréhensible si l'on se met du coté de celui qui conseille et qui ne veut pas "enduire en horreur" l'écran de son interlocuteur.
@lorus :
bètement : orange et laposte.
(en attendant de savoir maitriser un serveur perso .... (mais çà j'ai l'impression que c'est pas demain la veille ... ) )
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
Et celle là pour du imap
Les règles sont les suivantes pour récupérer le courrier de manière non sécurisée:
Serveur pop (110) ou imap(143) -> récupération du courrier
Serveur smtp(25) -> envoi du courrier
Ça devrait aller
Lorus.
Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.
Hors ligne
Ajoute simplement
Oui mais, ajouter à quoi ?
A ce que j'ai actuellement :
Ou à ce que j'ai proposé :
80/tcp
53/udp
443/tcp
587/tcp
Faire simple, c'est cela qui est compliqué !
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
A ce que j'ai actuellement :
80/tcp ALLOW OUT Anywhere
53/udp ALLOW OUT Anywhere
443/tcp ALLOW OUT Anywhere
25/tcp ALLOW OUT Anywhere
995/tcp ALLOW OUT Anywhere
Faire simple, c'est cela qui est compliqué !
------------------------------------------------------
En l'état evolution est en mesure d'envoyer du courrier mais pas de recevoir les courriers, tu as juste le port 25 d'ouvert (smtp)
Comme dit plus haut :
Serveur pop (110) ou imap(143) -> récupération du courrier
Serveur smtp(25) -> envoi du courrier
Dans ton cas, evolution ne peut pas récupérer le courrier (via protocole pop ou imap) car ufw n'a pa ouvert les ports sortants correspondant, donc garde ce que tu as, et ajoute simplement une règle ufw dans un terminal root pour ouvrir le port pop (110):
et essaye de récupéré ton courrier, SI ça ne marche pas, c'est que tu utilises le protocole imap (ça m'étonnerait chez wanadoo )
alors ajoute cette règle ufw pour ouvrir le port imap(143):
Tu devrais obtenir ce résultat dans ta configuration (# ufw status verbose ):
Pense également à supprimer la règle ufw qui ouvre le port 995 si tu n'en n'as pas besoin... Comme ceci
Ainsi ton port 995 ne sera plus autorisé à communiqué (en sortie) avec l'extérieur et configuration sera (# ufw status verbose ):
Et ainsi de suite... Comprends-tu la souplesse d'utilisation de ufw ?
Yep!
Edit:
allow out anywhere veut dire: permet la sortie (et uniquement la sortie) du port (correspondant) n'importe ou
Dernière modification par lorus (06-12-2012 13:13:11)
Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.
Hors ligne
Comprends-tu la souplesse d'utilisation de ufw ?
Maintenant oui !
Mais le fichier /etc/services reste bien obscur pour un michu comme moi et je me vois mal mémoriser l'utilité de cette longue liste.
N'a-t-on pas une classification par usage. (Ex : laposte = tel port).
Quand même,
je maitrise assez bien maintenant pour vous dire que la commande : #ufw delete out 995/tcp est incomplète; il faut taper ufw delete allow out 995/tcp.
J'ai donc supprimé 995/tcp et 143/tcp et j'ai bien retrouvé la boite de dialogue dans evolution sans autre formalités ni redémarrage.
Voici donc au final mon :
Et voilà qui est résolu, merci à tous,
j'espère que mon questionnement sera utile à d'autres.
Debian 9 (stretch) + la pire ICC que vous ayez probablement jamais rencontré.
Hors ligne
j'espère que mon questionnement sera utile à d'autres.
j'y flaire même un tuto potentiel...
merci à tous sur ce post !
Dernière modification par smolski (06-12-2012 15:22:25)
saque eud dun (patois chtimi : fonce dedans)
Hors ligne
Exact ma commande était incomplète, tu m'as corrigé puisque la règle initiale était
La bonne commande était effectivement :
Ce qui prouve que tu as pigé!
Au plaisir!
Lorus.
Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.
Hors ligne
Mais le fichier /etc/services reste bien obscur pour un michu comme moi et je me vois mal mémoriser l'utilité de cette longue liste.
J'y voit une incompréhension de ta part entre service (trafic entrant) et client (trafic sortant).
La liste /etc/services liste les services que tu peux avoir installés sur ta machine. UFW permet l'ouverture des ports correspondant grace à une écriture lisible et comprehensible par l'humain des ports standard correspondant à ces services.
Ainsi, par exemple si tu installe un serveur SSH sur ta machine pour autoriser le trafic entrant sur le port 22/tcp correspondant au port standard de SSH, il te suffit de rentrer :
La liste des services connus par UFW est listée dans /etc/services
N'a-t-on pas une classification par usage. (Ex : laposte = tel port).
Par contre là, le serveur ce n'est pas le tien, c'est celui de la poste, Ta machine est cliente et se connecte au serveur de la poste. Donc il te faut autoriser le trafic sortant.. Voila étant donné que le service est celui de la poste comment veux-tu qu'il soit listé dans TON fichier /etc/services
j'aime mieux tout bloquer par défaut et autoriser que le strict minimum sortant pour mes besoins
C'est ce qui est recommandé la plupart du temps aux michus comme moi.
Pour les parano venant de BSD oui , mais ce n'est pas la configuration recommandé de base sur GNU/Linux.
En fait autoriser tout le trafic sortant ne présente qu'un risque infime. Celui qu'un pirate se connectant à ton poste (ton poste devant autoriser le trafic entrant sur le port utilisé par le pirate), s'en serve pour faire du téléchargement (trafic sortant autorisé sur le port nécessaire au téléchargement). Dans la plupart des cas le port que le pirate utilisera sera le port 80 que tu aura de toute façon ouvert pour pouvoir surfer sur internet...
Bref cela pour expliquer que ce qui est conseillé pour un usage classique et un bon compromis sécurité-facilité d'utilisation c'est :
bloquer tout le trafic entrant et ouvrir les ports seulement pour les services utilisés et autoriser tout le trafic sortant, ce qui est d'ailleurs la configuration par défaut d'UFW
Dernière modification par vince06fr (06-12-2012 18:19:41)
Hors ligne
En fait autoriser tout le trafic sortant ne présente qu'un risque infime.
Très juste, cependant si tu installes un .deb (sans le code source) et que le programme installe un serveur qui tourne en arrière plan sur un port choisit par un hackeur, la technique du tout filtrant est mieux Il utilisera un port bidon pour être discret ex:1024 en tcp. Et là tu ne vois trop rien... pour M et Mme Michu
Dans la plupart des cas le port que le pirate utilisera sera le port 80 que tu aura de toute façon ouvert pour pouvoir surfer sur internet...
Grosse erreur, un hackeur scan les failles qui forcément ouvriront un port précis
Le port 80 est ouvert en traffic sortant seulement... s'il scanne le 80, il n'obtient aucune réponse.
J'arrête là car DF ne deviendra pas une plaque tournante du hacking
Amitié.
Lorus.
Edit:
Il est exact que l'on peut configurer un service dans ufw qui forcément ouvrira le port correspondant. Pop, Smtp, Ssh etc etc.
Je trouve que manipuler les ports est plus pédagogique, peut-être une habitude en fait car les deux sont aussi efficaces
Si vous êtes fan du « Si ce n’est pas cassé, ne le corrigez pas » , vous serez un grand fan de BSD. Mais si vous êtes du genre à avoir besoin que tout soit le plus récent possible, vous feriez mieux de migrer vers Linux aussi vite que possible histoire de ne pas être à la traîne.BSD a un système de base comprenant de nombreux outils, ils sont tous développés et packagés ensemble pour être cohésif.
Hors ligne
Grosse erreur, un hackeur scan les failles qui forcément ouvriront un port précis
Oui les port ouvert pour des services, donc pour le trafic entrant....
Et ce n'est pas les failles qui ouvrent les ports, les failles peuvent permettre d'obtenir un acces root par exemple, les ports tu les as ouvert toi même en fonction de tes besoins.
(tu remarquera que j'ai utilisé le mot pirate et non hacker car pour moi ce n'est pas la même chose..)
Le port 80 est ouvert en traffic sortant seulement... s'il scanne le 80, il n'obtient aucune réponse.
Il n'a pas besoin de le scanner, une fois qu'il a acces à la machine via un port entrant, s'il veut par exemple se servir de la machine pour un DDOS, il sait que dans 99% des cas le port 80 sortant en TCP sera ouvert... et pour un DDOS, 100% de chance qu'il utilise le port 80...
Le danger se situe principalement sur les services installés sur la machine et donc au niveau du trafic entrant :
Si le pirate ne peut pas entrer, il ne peut rien faire , s'il peut entrer, il aura tout le loisir de tester les ports sortant pour en trouver un ouvert et il commencera surement par le 80..
J'arrête là car DF ne deviendra pas une plaque tournante du hacking
Ok
Dernière modification par vince06fr (06-12-2012 20:05:00)
Hors ligne