Bonjour,

J’aimerais sécuriser un peu plus ma debian pouvez-vous me dire:
(contexte: chez moi, pc de bureau, xfree , vmware occasionnellement)

derniere question:

Linux (gnu/linux pour les pointilleux) ne proposant pas de firewall
applicatif (ou pas à ma connaissance) j’aimerais bloquer le trafic dans
les 2 sens,mais par exemple firefox utilise des ports aléatoire est-ce
possible de changer ce comportement ou connaissez vous quel plage de
port il utilise ?

un grand merci d’avance à ceux qui repondront aux questions.

Fabrice.

EDIT: editer pour ne laisser que la question qui est traitée sur ce fil

[quote=“rs4”]
derniere question:

Linux (gnu/linux pour les pointilleux) ne proposant pas de firewall
applicatif (ou pas à ma connaissance) j’aimerais bloquer le trafic dans
les 2 sens,mais par exemple firefox utilise des ports aléatoire est-ce
possible de changer ce comportement ou connaissez vous quel plage de
port il utilise ?

un grand merci d’avance à ceux qui repondront aux questions.

Fabrice.[/quote]

Salut,

Je ne suis pas un grand security-man Debian, donc ce sujet m’interresse aussi, mais concernant ta derniere question, les Linux et GNU/Linux proposent des Firewall logiciel.
un petit :

apt-cache seache firewall

te donnera une liste de tous les paquets correspondant à ta recherche. En triant un peu tu trouveras ton bonheur…

IPTable est d’ailleur installé par défaut à priorit… Mais peu etre pas activé et configuré

@++

Pour iptable, voir le tuto de ricardo dans trucs et astuces pour le configurer : forum.debian-fr.org/viewtopic.php?t=1901

iptables n’est pas UN pare feu, iptables est LE parefeu sur lequel sont basés tous les autres. Il est dans le noyau, et les “systêmes de pare feu” ne font que lui donner des ordres.
Utiliser des commandes iptables, c’est juste taper en direct dans le pare feu.

merci

oui iptables n’est pas ce que je recherche je “connais” deja , ma question portait plutot sur l’utilisation de port aleatoire sur firefox et s’il existe un moyen de definir un port precis ou si vous connaissez la plage de port qu’il utilise.

Etant donné que netfilter/iptables ne filtre pas au niveau application je souhaite fermer le firewall dans les 2 sens et pas comme souvent dans les tutoriels uniquement en entrée.

sinon pour les autres questions pas d’idée ?

pour /etc/hosts.deny j’ai trouvé j’ai mis ALL:ALL,PARANOID ca ira comme ca.

par contre changer le cryptage par defaut des password j’ai pas trouvé encore
si vous avez de la doc à ce sujet ca serait gentil

Bon, ton fil est mal barré: je n’avais pas lu le premier post (honte à moi) et je m’aperçois qu’il n’est pas du tout adapté au format du forum seulement maintenant.
Ici, on fait une question un fil, et quand la question ne concerne pas un problême technique particulier à résoudre tout de suite, on met sa question plutot dans pause café.
Donc le flot de question que tu as posé a peu de chance de recevoir beaucoup de réponse en l’etat. Il faut faire quinze posts différents, la plupart dans pause café

Pour ta question sur firefox, qui semble te préoccuper en particulier, elle n’a pas vraiment de sens.
Firefox est un client et n’a pas de port “à lui”. Il se connecte juste sur les ports correspondants aux services auxquels il accéde.

désolé j’aurais du lire les consignes…
je vais poser ces questions dans pause café

en ce qui concerne firefox je ne parle pas du port distant (80,8080,443,…) mais du port source que firefox utilise pour contacter le serveur.
etant la seule application (installée) à ma connaissance à utiliser un port aleatoire >1024 je voulais changer ce comportement.

je vais lancer ethereal et faire plusieurs connection voir si l’intervalle de port est toujours la meme, mais je prefererais quand meme fixer un port

[quote=“rs4”]désolé j’aurais du lire les consignes…
je vais poser ces questions dans pause café

en ce qui concerne firefox je ne parle pas du port distant (80,8080,443,…) mais du port source que firefox utilise pour contacter le serveur.
etant la seule application (installée) à ma connaissance à utiliser un port aleatoire >1024 je voulais changer ce comportement.

je vais lancer ethereal et faire plusieurs connection voir si l’intervalle de port est toujours la meme, mais je prefererais quand meme fixer un port[/quote]OK. Je pensais que tu ne savais pas de quoi tu parlais. Je ne me suis jamais posé la question de la sélection des ports sources.
Mais AMA, ce n’est pas firefox qui choisit, c’est un appel au noyau pour une connection sortante, et c’est du noyau que vient l’attribution du port de sortie.
Mais bon.

[quote=“rs4”]
en ce qui concerne firefox je ne parle pas du port distant (80,8080,443,…) mais du port source que firefox utilise pour contacter le serveur.
etant la seule application (installée) à ma connaissance à utiliser un port aleatoire >1024 je voulais changer ce comportement.

je vais lancer ethereal et faire plusieurs connection voir si l’intervalle de port est toujours la meme, mais je prefererais quand meme fixer un port[/quote]
Le port local est pris aléatoirement depuis les recents noyaux et c’est un GROS gain de sécurité.
Et toi tu veux revenir en arrière? Y a une raison précise?
De plus, toujours le meme port, ca marchera probablement pas sauf en modifiant viollemment le code de firefox. Et encore.

Bon, ce fil part sur le pbm de firefox et la question est «Existe-t-il une méthode qui permet de bloquer dans un sens ou dans un autre une application?» Je te suggère d’ouvrir d’autres fils pour les autres questions et on continue sur ce pbm qui est interessant.

1. Il existe surement une possibilité de bloquer une application donnée par exemple en utilisant un avatar de trickle (qui limite le traffic d’une application). Ça peut constituer une méthode mais ça n’est pas terrible.

2. Il est possible à tout instant de savoir quels sont lesports ouverts et qui les utilise ce qui per met de créer un démon surveillant les ports et les bloquant via des règles iptables au fur et à mesure, un peu lourd mais ça doit se faire sans trop de difficulté. On doit même pouvoir faire un prototype en bash via netstat+iptables.

3. autres idées dont fonctionnalités d’iptables qui peut tout faire suaf le café mais je ne conais pas dans ce cas (MatOTop: c’est dans le 2.6?? )

quote="fran.b"
3) autres idées dont fonctionnalités d’iptables qui peut tout faire suaf le café mais je ne conais pas dans ce cas (MatOTop: c’est dans le 2.6?? )[/quote]
en utilisant un -m owner avec iptables:

[quote=“man iptables”] owner
This module attempts to match various characteristics of the packet creator, for locally-generated packets. It is only valid
in the OUTPUT chain, and even this some packets (such as ICMP ping responses) may have no owner, and hence never match.

   --uid-owner userid
          Matches if the packet was created by a process with the given effective user id.

   --gid-owner groupid
          Matches if the packet was created by a process with the given effective group id.

   --pid-owner processid
          Matches if the packet was created by a process with the given process id.

   --sid-owner sessionid
          Matches if the packet was created by a process in the given session group.

   --cmd-owner name
          Matches  if the packet was created by a process with the given command name.  (this option is present only if iptables
          was compiled under a kernel supporting this feature)

   NOTE: pid, sid and command matching are broken on SMP

[/quote]l’option '–cmd-owner ’ me parait pas mal.
Mais je ne sais pas si ça fait partie des nouvelles fonctionnalités du 2.6, ni quel module complémentaire est nécessaire.

Si tu veux n’autoriser que telle ou telle application, il va falloir securiser les postes clients pour empecher aux utilisateurs de modifier les applications ou de modifier le systeme local de verification des applications. Sinon je renomme mon executable et c’est fini.
Ensuite tu peux utiliser nufw qui se base sur netfilter, le firewall de linux.

Fixer le port local de Firefox ne resoud pas le probleme, il en rajoute, selon moi.

Non, il suffit de tester le exe du /proc/PID, il te donne le nom réel de l’éxécutable appelé. Il suffit de tester l’inode du fichier pour être sur de l’éxécutable… Donc tant que celui ci est protégé en écriture, il est difficile de tourner autour…

En fait, la seule parade que je verrais serait de faire

$ /lib/ld-linux.so.2 /usr/bin/mozilla-firefox

Ton processus sera nommé /lib/ld-linux.so.2 et tu auras du mal à trouver la tache qu’il exécute. Pense donc à fermer aussi le traffic à ce processus.

bande de paranos

[quote=“fran.b”]Non, il suffit de tester le exe du /proc/PID, il te donne le nom réel de l’éxécutable appelé. Il suffit de tester l’inode du fichier pour être sur de l’éxécutable… Donc tant que celui ci est protégé en écriture, il est difficile de tourner autour…
[/quote]
Securiser le poste client, en gros
Et ensuite le “suffit…” il faut bien l’implementer et justement ca tombe bien nufw le fait.

Seuls les paranos survivront

quote="BorisTheButcher"Seuls les paranos survivront [/quote]C’est ce qu’ils pensent, mais c’est grâce aux skizs que fut sauvée la planète:
noosfere.com/heberg/Le_ParaD … phane.html

Merci pour toute ces idées/solutions ca depasse un peu beaucoup mes competences (elles ne demandent qu’a s’etoffer)

en fait je sais pas pourquoi je voulais bloquer le port source paranoïte aigue peut etre bien.

je vais voir du coté du module owner meme s’il est experimental (option CONFIG_IP_NF_MATCH_OWNER)

iptables -A OUTPUT -i eth0 --dports $HTTPPORTS -m owner --cmd-owner /path/firefox --uid-owner $ACCEPTEDUID -j ACCEPT

ca devrait “suffir” (jamais suffisant pour un parano )

pour --pid-owner je vois pas trop comment realiser le truc , le script iptables est lancé au demarrage, firefox n’est pas lancé donc pas de PID, et si je le lance c’est avec des droits restreints qui ne permettront pas d’ajouter cette chaine “à la volée” , c’est plus approprié à un daemon je pense.

il existe aussi un module pour verifier l’inode mais je laisse refroidir un peu mon neurone… en attendant bah y’a tripwire

Et je debute … dans un an j’achete un coffre fort pour mettre mon pc
aprés tout on n’est jamais à l’abris d’une mouche USB made in NSA vendu à la RIAA , qui verifirait si j’ai téléchargé une chanson de lorie.

Prochaine etape IDS , grsec … SElinux nan elle va s’accouplé avec la mouche

PARANO INSIDE

Une idée incontournable pour garder sa machine sécure: ne pas l’allumer…

oué mais aprés je peux plus télécharger lorie

[quote=“rs4”]oué mais aprés je peux plus télécharger lorie [/quote]Oula, malheureux ! ne sais tu pas que le téléchargement, c’st illégal, et que c’est la porte d’entrée aux virus (sisi, même sous linux), aux hackers, et que ça finance le terrorisme et le traffic de drogue ?
Si si, je suis sûr de l’avoir entendu à la télé.