Pare-feu [Réglé]
Configurer
Discussions Libres
Ourck20-1 Membre non connecté
-
- Voir le profil du membre Ourck20-1
- Inscrit le : 06/05/2019
- Groupes :
Ça paraitra surement évident à beaucoup mais bon
sans être parano, j'aimerais avoir un Parefeu dans le CCM
qui ne soit pas trop passoire et qui laisse ouvert
les Ports utiles aux applis du quotidien !
En renfort, il y a Clamav...
Il y a surement une ligne de commande (#) pour
connaitre ceux qui sont ouverts !
Gratuit, of course !!!
Bien
Fred
Édité par Ourck20-1 Le 22/05/2019 à 14h50
nic80 Membre non connecté
-
- Voir le profil du membre nic80
- Inscrit le : 06/08/2018
- Groupes :
-
Modérateur
Dans le CCM, il y a dans l' onglet sécurité, l' option de " configurer votre parefeu personnel" et "configuration avancée du réseau et des interfaces réseau" à ce but.
Par contre, je n' ai aucune idée de voir quels sont les ports ouverts sur la machine ( sauf à utilliser nmap depuis une autre machine).
Jybz Membre non connecté
-
- Voir le profil du membre Jybz
- Inscrit le : 10/10/2018
- Groupes :
-
Administrateur
-
Forgeron
Ça veux dire, si un ordinateur distant tente de ce connecter au port 22 de ton PC, si le port est bloqué, il ne pourra pas s'y connecter.
Si tu installes un serveur sur ton PC, il faut préciser sur quel port le serveur écoute les connexions entrantes. Admettons que tu installes sshd (le logiciel serveur pour te connecter sur ton PC depuis l'extérieur), tu lui précises qu'il écoute sur le port 22.
Cas 1, tu n'as pas ouvert le port dans le pare-feu, les connexions extérieurs seront bloqué, le serveur (sshd) ne verra jamais une connexion entrante. Et le client (ssh) aura l'erreur Connection Time Out (temps d'attente dépassé) en gros, pas de connexion, ou serveur introuvable.
Cas 2, tu as ouvert les ports et tu réussira à te connecter depuis l'extérieur.
Cette configuration par défaut, ne bloque pas les connexions sortantes. Ainsi, firefox, lorsqu'il se connecte à http://www.inter.net, il fait une demande de connexion au port 80 (internet non chiffré http), il n'est pas sur ton port 80 de ton PC, car ton PC n'est pas un serveur web, il ouvre un port en connexion sortant entre 1024 et 65535, le pare-feu voit que c'est un logiciel interne au PC qui vient ouvrir un port, mais pas en écoute et attente de connexion, admettons, firefox à pris le port 63902, et fait un appel au serveur www.inter.net sur son port 80, le serveur à son port ouvert par le pare-feu, le message arrive jusqu'au logiciel serveur, il sait que le message vient de toi (avec ton IP) et il sait a quel port (63902) il faut renvoyer un message.
Par défaut, sous Mageia, tout est bloqué.
Si tu un installé un logiciel qui vient écouter et répondre aux requetes d'autre client d'internet, les "autre clients" s'écraseront sur le pare-feu et le serveur (le logiciel qui écoute sur un port) ne verra que du feu. (:héhé
Que veux tu exactement faire ?
Bloquer tous les ports, aussi pour les connexions sortante ? Firefox ne pourras ainsi plus faire aucune demande et ouvrir une seule page web. Le plus simple, c'est de débrancher le cable réseau, tu économiseras de l'énergie xD
Sur android, il y a une application nommé AFWall+, dont le développeur à une bonne connaissance de la configuration, apparemment il est possible de dire quel application à le droit d'ouvrir des connexions sortantes (genre firefox essaie d'ouvrir le port 63902, le pare-feu accepte, et le jeu solitaire (il n'a rien à faire avec internet) s'il demande l'accès à internet, le pare-feu n'accepte pas la connexion sortante, et le logiciel solitaire n'aura juste pas accès à internet (c'est comme firefox quand il n'y a plus de connexion, c'est la page blanche...)
Mais là... C'est une configuration qui sort du cadre de 999/1000 des appareils (PC sous windows, PC sous linux, serveurs, smartphones, tous terminaux confondu). Et encore, je pense que 999/1000 est peut-être un chiffre trop bas comparé au chiffre réel...
J'attends que tu me dises exactement ce que tu souhaites.
Jybz Membre non connecté
-
- Voir le profil du membre Jybz
- Inscrit le : 10/10/2018
- Groupes :
-
Administrateur
-
Forgeron
# cat /var/log/security/mail.daily.today
Pour l'état à l'instant de la commande :
# netstat -laputen
root a plus d'information que les utilisateurs normaux avec cette commande.
-l pour afficher les ports en écoute (donc les serveurs qui tournent sur le PC)
-u pour udp, -t pour tcp
-n pour l'avoir en numérique (c'est bien plus rapide, mais si tu fais sans, c'est lent, il faut retrouver les nom de domaines qui se cachent derrière les adresses IP).
j'ai oublié les options a et e. Mais ça marche bien.
Ourck20-1 Membre non connecté
-
- Voir le profil du membre Ourck20-1
- Inscrit le : 06/05/2019
- Groupes :
TOUS est sûrement ouvert....protection=0
Citation :
# cat /var/log/security/mail.daily.today
*** Security Check, mai 21 09:10:02 ***
*** Check type: daily ***
*** Check executed from: /etc/cron.daily/msec ***
Report summary:
Test started: mai 21 09:10:02
Test finished: mai 21 09:10:10
Total of user files that should not be writable: 10
Total of users whose home directories have unsafe permissions : 4
Total of open network ports: 31
Total of configured firewall rules: 134
Total local users: 50
Total local group: 80
Detailed report:
Security Warning: theses files should not be owned by someone else or writable :
- /home/fred/.bashrc : file is group writable.
- /home/fred/.bashrc : file is other writable.
- /home/fred/.bash_profile : file is group writable.
- /home/fred/.bash_profile : file is other writable.
- /home/fred/.bash_logout : file is group writable.
- /home/fred/.bash_logout : file is other writable.
- /home/fred/.gnupg : file is group writable.
- /home/fred/.gnupg : file is other writable.
- /home/fred/.config : file is group writable.
- /home/fred/.config : file is other writable.
Security Warning: these home directory should not be owned by someone else or writable :
user=davfs2(981) : home directory is group writable.
user=fred(1000) : home directory is group writable.
user=fred(1000) : home directory is other writable.
user=clamav(976) : home directory is group writable.
These are the ports listening on your machine :
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat Program name
tcp 0 0 0.0.0.0:sane-port 0.0.0.0:* LISTEN xinetd
tcp 0 0 0.0.0.0:hostmon 0.0.0.0:* LISTEN systemd-resolv
tcp 0 0 0.0.0.0:sunrpc 0.0.0.0:* LISTEN rpcbind
tcp 0 0 0.0.0.0:978 0.0.0.0:* LISTEN openl2tpd
tcp 0 0 localhost:7634 0.0.0.0:* LISTEN hddtemp
tcp 0 0 0.0.0.0:ssh 0.0.0.0:* LISTEN sshd
tcp 0 0 0.0.0.0:ipp 0.0.0.0:* LISTEN cupsd
tcp 0 0 localhost:versiera 0.0.0.0:* LISTEN tor
tcp6 0 0 [:![:]](/images/smileys/8.gif)
:mshvlm [::* LISTEN init
tcp6 0 0 [::gds_db [::* LISTEN firebird
tcp6 0 0 [::hostmon [::* LISTEN systemd-resolv
tcp6 0 0 [::sunrpc [::* LISTEN rpcbind
tcp6 0 0 [::http [::* LISTEN thttpd
tcp6 0 0 [::ipp [::* LISTEN cupsd
udp 0 0 0.0.0.0:mdns 0.0.0.0:* avahi-daemon: r
udp 0 0 0.0.0.0:hostmon 0.0.0.0:* systemd-resolv
udp 0 0 0.0.0.0:39268 0.0.0.0:* avahi-daemon: r
udp 0 0 0.0.0.0:941 0.0.0.0:* rpcbind
udp 0 0 0.0.0.0:977 0.0.0.0:* openl2tpd
udp 0 0 linux.local:bootpc 0.0.0.0:* NetworkManager
udp 0 0 0.0.0.0:sunrpc 0.0.0.0:* rpcbind
udp 0 0 0.0.0.0:ipp 0.0.0.0:* cups-browsed
udp 0 0 0.0.0.0:l2tp 0.0.0.0:* openl2tpd
udp 0 0 0.0.0.0:l2tp 0.0.0.0:* xl2tpd
udp6 0 0 [::mdns [::* avahi-daemon: r
udp6 0 0 [::hostmon [::* systemd-resolv
udp6 0 0 [::37777 [::* avahi-daemon: r
udp6 0 0 [::941 [::* rpcbind
udp6 0 0 [::sunrpc [::* rpcbind
*** Security Check, mai 21 09:10:02 ***
*** Check type: daily ***
*** Check executed from: /etc/cron.daily/msec ***
Report summary:
Test started: mai 21 09:10:02
Test finished: mai 21 09:10:10
Total of user files that should not be writable: 10
Total of users whose home directories have unsafe permissions : 4
Total of open network ports: 31
Total of configured firewall rules: 134
Total local users: 50
Total local group: 80
Detailed report:
Security Warning: theses files should not be owned by someone else or writable :
- /home/fred/.bashrc : file is group writable.
- /home/fred/.bashrc : file is other writable.
- /home/fred/.bash_profile : file is group writable.
- /home/fred/.bash_profile : file is other writable.
- /home/fred/.bash_logout : file is group writable.
- /home/fred/.bash_logout : file is other writable.
- /home/fred/.gnupg : file is group writable.
- /home/fred/.gnupg : file is other writable.
- /home/fred/.config : file is group writable.
- /home/fred/.config : file is other writable.
Security Warning: these home directory should not be owned by someone else or writable :
user=davfs2(981) : home directory is group writable.
user=fred(1000) : home directory is group writable.
user=fred(1000) : home directory is other writable.
user=clamav(976) : home directory is group writable.
These are the ports listening on your machine :
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat Program name
tcp 0 0 0.0.0.0:sane-port 0.0.0.0:* LISTEN xinetd
tcp 0 0 0.0.0.0:hostmon 0.0.0.0:* LISTEN systemd-resolv
tcp 0 0 0.0.0.0:sunrpc 0.0.0.0:* LISTEN rpcbind
tcp 0 0 0.0.0.0:978 0.0.0.0:* LISTEN openl2tpd
tcp 0 0 localhost:7634 0.0.0.0:* LISTEN hddtemp
tcp 0 0 0.0.0.0:ssh 0.0.0.0:* LISTEN sshd
tcp 0 0 0.0.0.0:ipp 0.0.0.0:* LISTEN cupsd
tcp 0 0 localhost:versiera 0.0.0.0:* LISTEN tor
tcp6 0 0 [:
:mshvlm [::* LISTEN inittcp6 0 0 [:
:gds_db [::* LISTEN firebirdtcp6 0 0 [:
:hostmon [::* LISTEN systemd-resolvtcp6 0 0 [:
:sunrpc [::* LISTEN rpcbindtcp6 0 0 [:
:http [::* LISTEN thttpdtcp6 0 0 [:
:ipp [::* LISTEN cupsdudp 0 0 0.0.0.0:mdns 0.0.0.0:* avahi-daemon: r
udp 0 0 0.0.0.0:hostmon 0.0.0.0:* systemd-resolv
udp 0 0 0.0.0.0:39268 0.0.0.0:* avahi-daemon: r
udp 0 0 0.0.0.0:941 0.0.0.0:* rpcbind
udp 0 0 0.0.0.0:977 0.0.0.0:* openl2tpd
udp 0 0 linux.local:bootpc 0.0.0.0:* NetworkManager
udp 0 0 0.0.0.0:sunrpc 0.0.0.0:* rpcbind
udp 0 0 0.0.0.0:ipp 0.0.0.0:* cups-browsed
udp 0 0 0.0.0.0:l2tp 0.0.0.0:* openl2tpd
udp 0 0 0.0.0.0:l2tp 0.0.0.0:* xl2tpd
udp6 0 0 [:
:mdns [::* avahi-daemon: rudp6 0 0 [:
:hostmon [::* systemd-resolvudp6 0 0 [:
:37777 [::* avahi-daemon: rudp6 0 0 [:
:941 [::* rpcbindudp6 0 0 [:
:sunrpc [::* rpcbindMouais, dans le CCM, qu'est-ce que tu me conseilles de décocher (ou cocher)
sachant que j'utilise Firefox & addons stricts, Cloud crypté chez zaclys & domaine Craym
plusieurs adresses mail, lilo, proton,...
Bien à tous et à toi pour éclairer ma lanterne !
encore !!!
Fred.
Ourck20-1 Membre non connecté
-
- Voir le profil du membre Ourck20-1
- Inscrit le : 06/05/2019
- Groupes :
Jybz Membre non connecté
-
- Voir le profil du membre Jybz
- Inscrit le : 10/10/2018
- Groupes :
-
Administrateur
-
Forgeron
Chez moi, j'ai de coché :
bittorrent (car je veux partager ce que je télécharge)
ping (car j'aimerai parfois déboguer une situation, donc m'autopinger)
KDEConnect (car j'utilise KDEConnect pour synchroniser mon téléphone à mon PC)
Je n'ai RIEN d'autre de coché, pas de serveur sshd pour accéder à distance à mon PC,
pas de serveur mail, j'utilise des messageries classiques, je ne suis pas mon propre hébergeur.
je n'ai pas de serveur web, ...
Quand tu coches, tu acceptes qu'un logiciel puisse écouter sur le port correspondant.
Si tu es sûr d'avoir 0 protection, c'est simple à vérifier, même sur le réseau local.
Fais un script bash qui écoute sur le port 10000,
depuis un autre PC ou téléphone, tente une connexion sur le port 10000 de ton PC. Si tu n'as rien, c'est qu'il y a une protection. Si ça passe et le "serveur" (le script bash qui écoute sur le port 10000) recoit la connexion, alors il n'y a bien pas de connexion. Mais par défaut il y en a une, alors je doute sur ce que tu dis.
Ourck20-1 Membre non connecté
-
- Voir le profil du membre Ourck20-1
- Inscrit le : 06/05/2019
- Groupes :
Jamais sans mon accord !
Après, si Boinc à besoin...no problémo !
Bien & merci
j'ai des mobiles comme beaucoup mais en fait je fait l'inverse...je downgrade !
et ne me sert plus que des "vieux" portables après avoir beaucoup utilisé de "smart"phone.
C'est un choix, libre à chacun de choisir ce dont il a besoin.
F.
Ourck20-1 Membre non connecté
-
- Voir le profil du membre Ourck20-1
- Inscrit le : 06/05/2019
- Groupes :
Je comprends pas bien ce WARNING:
Citation :
Security Warning: these home directory should not be owned by someone else or writable :
user=davfs2(981) : home directory is group writable.
user=fred(1000) : home directory is group writable.
user=fred(1000) : home directory is other writable.
user=clamav(976) : home directory is group writable.
user=davfs2(981) : home directory is group writable.
user=fred(1000) : home directory is group writable.
user=fred(1000) : home directory is other writable.
user=clamav(976) : home directory is group writable.
Où faut-il agir ?
Jybz Membre non connecté
-
- Voir le profil du membre Jybz
- Inscrit le : 10/10/2018
- Groupes :
-
Administrateur
-
Forgeron
Ourck20-1 :
@Jybz, bon la seule chose que je ne veux pas c'est d'être transformé en "relais" pour x ou y buts !
Jamais sans mon accord !
Après, si Boinc à besoin...no problémo !
Jamais sans mon accord !
Après, si Boinc à besoin...no problémo !
Bon, j'ai du mal à comprendre...
Si tu n'installes QUE des applications venant de Mageia (donc sans passer par rpm-find ou autre site web), alors tu n'aurais jamais de /virus/, un logiciel qui démarrerai au démarrage et fait ce qu'on lui demande a distance (en client ou serveur). Alors jamais tu serais transformer en relais.
Pour les erreurs de droit :
Hum... Je ne serais trop dire, comment faire...
Ok, je viens de trouver comment on changeait d'utilisateurs.
Alors, peux tu me faire un :
ls -lisah /home/
?
Ça veut dire que tu as des dossiers qui appartiennent à un utilisateurs, et tout un groupe peut écrire à l'intérieur.
Je dirais, d'abord pour régler avec l'utilisateur "normal", tape :
cd /home/
chmod 700 ./fred
le mode 700 diviendra :
RWX------
Soit, Read Write eXecute pour l'utilisateur
pas Read, pas Write, pas eXecute pour le groupe
pas Read, pas Write, pas eXecute pour les autres.
Si tu regardes bien la commande ls -lisah qu'on a précédemment tapé, tu devrais voir quelque chose du genre :
drwxrwx--- fred/
ça signifie, d : que c'est un répertoire, rwx que l'utilisateur à les droits Read Write eXecute, le groupe aussi, mais les autres d'ont rien.
Je ne sais pas si c'est ça, il se peut que ce soit rwxrwxrwx et dans ce cas, même les autres peuvent tout faire avec ton répertoire.
1 = 001 = eXecute
2 = 010 = Write
4 = 100 = Read
et quand tu mélanges les 01 entre eux :
3 = 011 = Write/eXecute
5 = 101 = Read/eXecute
6 = 110 = Read/Write (on peut lire, écrire, mais pas exécuté, comme très souvent quand on écrit des scripts)
7 = 111 = Read/Write/eXecute.
Les dossiers doivent être eXecute pour pouvoir être ouvert et voir le contenu.
Si un dossier est Read, sans avoir le droit de voir le contenu, on peut quand même lire un fichier (si on connait le nom du fichier)
Si un dossier est Write, on peut écrire des fichiers dedans, comme un cliqué/glissé, mais on ne peut pas ouvrir les fichiers (ça c'était utilisé par mes profs pour les remises des fichiers à la fin d'une interrogation, tout le monde clic-glisse dans un dossier, on ne peut pas récupérer le travail des autres, on ne peut rendre "plus tard" car le prof récupère le dossier et vide le contenu (le prof à les droits lecture, écriture et exécution des dossiers.)
Ourck20-1 Membre non connecté
-
- Voir le profil du membre Ourck20-1
- Inscrit le : 06/05/2019
- Groupes :
Cela dit, je suis le SEUL (normalement ???) à me servir de cette bécane.
Aussi, je vais faire ce que tu as décrit avec beaucoup de patience !
Boinc permet de partager la puissance de calcul inutilisée à des fins scientifiques et/ou humanitaires.
Bien
F.
Ourck20-1 Membre non connecté
-
- Voir le profil du membre Ourck20-1
- Inscrit le : 06/05/2019
- Groupes :
j'ai toujours été pas bon...à l'école !
même pas cap. de copier !
C'est dire...
Alors il me sort:
Citation :
# ls -lisah /home/
total 12K
44564481 4,0K drwxr-xr-x 3 root root 4,0K mai 11 08:44 ./
2 4,0K drwxr-xr-x 19 root root 4,0K mai 9 08:16 ../
44564482 4,0K drwxrwxrwx 38 fred fred 4,0K mai 21 15:43 fred/
44564484 0 lrwxrwxrwx 1 root root 10 mai 3 13:10 live -> /home/fred/
total 12K
44564481 4,0K drwxr-xr-x 3 root root 4,0K mai 11 08:44 ./
2 4,0K drwxr-xr-x 19 root root 4,0K mai 9 08:16 ../
44564482 4,0K drwxrwxrwx 38 fred fred 4,0K mai 21 15:43 fred/
44564484 0 lrwxrwxrwx 1 root root 10 mai 3 13:10 live -> /home/fred/
Un peu beaucoup,non ?
Surtout que JE suis le seul à utiliser l'engin !
J'ai fait un "top" et bien sûr, plein de ressources...
Juste Firefox qui est gourmand +/- 18°/°
nic80 Membre non connecté
-
- Voir le profil du membre nic80
- Inscrit le : 06/08/2018
- Groupes :
-
Modérateur
. Et .. sont respectivement le répertoire en cours (/home en l' occurence) et le répertoire parent de /home, donc normal qu' ils soient là.
Live est un lien symbolique vers /home/fred , je ne sais pas ce que celui fait là (résidu d' une installation depuis un media live ?)
Après les droits sur /home/fred sont étendus (mais est ce parce que c' est un répertoire). En gros tout le monde peut voir ce répertoire (et potentiellement faire des modifs dessus)
Ourck20-1 Membre non connecté
-
- Voir le profil du membre Ourck20-1
- Inscrit le : 06/05/2019
- Groupes :
Citation :
En gros tout le monde peut voir ce répertoire (et potentiellement faire des modifs dessus)
Houhou, là, inquiet!
Celà dit, pour modifier quoique ce soit (qq de "mal" intentionné) il faut mon mot de passe root j'espère !
Bien
F.
Jybz Membre non connecté
-
- Voir le profil du membre Jybz
- Inscrit le : 10/10/2018
- Groupes :
-
Administrateur
-
Forgeron
Ourck20-1 :
@nic80,
Houhou, là, inquiet!
Celà dit, pour modifier quoique ce soit (qq de "mal" intentionné) il faut mon mot de passe root j'espère !
Bien
F.
Citation :
En gros tout le monde peut voir ce répertoire (et potentiellement faire des modifs dessus)
Houhou, là, inquiet!
Celà dit, pour modifier quoique ce soit (qq de "mal" intentionné) il faut mon mot de passe root j'espère !
Bien
F.
Bien non, il ne faut rien de particulier, car les droits sont :
Code BASH :
RWXRWXRWX RWX RWX RWX 111 111 111 7 7 7
user group other,
Donc other (n'importe qui), peut modifier quoi que ce soit sur le répertoire.
Si tu veux changer, il faut taper la commande :
Code BASH :
chmod 700 /home/fred
et 700 :
Code BASH :
7 0 0 111 000 000 rwx --- --- rwx------
EDIT : change "PC" par "Répertoire", merci Nic80
Édité par Jybz Le 21/05/2019 à 22h39
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie