Page 4 sur 5Précédent 1, 2, 3, 4, 5 Suivant[Framabook] Sortie de Simple Comme Ubuntu 8.04

[Téthis]

Une rapide recherche aboutit à ça : http://0pointer.de/blog/projects/zeroconf-ubuntu.html

The "No Open Ports" policy: This policy (or at least the way many people interprete it) seems to be thought out by someone who doesn't have much experience with TCP/IP networking. While it might make sense to enforce this for application-level protocols like HTTP or FTP it doesn't make sense to apply it to transport-level protocols such as DHCP, DNS or in this case mDNS (the underlying protocol of Zeroconf/Avahi/Bonjour)

Cela ne concerne pas directement cette politique ubuntu, à moins que ce ne soit un OS policier, c'est cependant assez intéressant à lire. La réponse était peut-être : "on ouvre tout sur le loopback pour ne pas se prendre une seconde volée de bois vert".

[didrocks]

@athanor :
Si tu as le temps, tu aurais pu faire un iptables -L pour le vérifier plutôt que de monter sur tes grands chevaux. Vas aussi sur le channel IRC de développement d'ubuntu : #ubuntu-devel, #ubuntu-motu ou encore #ubuntu-server beaucoup d'informations passent ici. Il faut également un minimum d'investissement de la personne qui demande des explications au lieu d'attendre que ça tombe tout cuit et tout faire pour trasher, enfin bref appliquons sinon la politique d'autres distributions qui font directement dans le « tu sais pas ? Et bien cherche »…

@Thétis :
lapsus entre "police" et "politique".
Par contre, on ouvre tout sur le loopback, sauf les services qui ne doivent pas l'être logiquement comme apache ou encore openSSH ^^

[Mélodie]

Il faut également un minimum d'investissement de la personne qui demande des explications au lieu d'attendre que ça tombe tout cuit et tout faire pour trasher

Ce que j'ai dit est que lorsqu'on affirme que c'est telle ou telle politique qui est menée sur la sécurité, on essaie d'apporter des éléments *concrets*.

Ce n'est pas à moi d'aller vérifier tes affirmations.

[didrocks]

Le problème est quand aucune page officielle existe à ma connaissance, je ne peux que te dire de passer sur les channels de développement pour confirmer ceci…

[Mélodie]

Ok ok, je recherches des pages officielles. Voici des pistes officielles disant que par défaut, Ubuntu est livrée sans ports ouverts (les officiels ne diraient-ils pas la vérité ? )

https://help.ubuntu.com/community/Linuxvirus

So You Want to Know How to Use Anti-virus Software on Ubuntu?

You've got an Ubuntu system, and your years of working with Windows makes you concerned about viruses -- that's fine. While Ubuntu (and Linux in general) is a very secure system, and Ubuntu comes with no "open ports"...

J'ai lu juste avant un bout de:
https://help.ubuntu.com/8.10/keeping-sa ... ewall.html

To check that your firewall is working correctly, make use of an online firewall testing service such as ShieldsUP.

La société qui propose le test avec ShieldsUP me semble très bien, donc je pense que les utilisateurs Ubuntu ayant un doute pourront vérifier à partir de cette source.

[didrocks]

Le plus simple est encore un iptables -L et tu verras que rien n'est fermé
Mais bon, avoir un port ouvert et rien qui n'écoute dessus pourrait se traduire par un port fermé, je ne sais pas ce qu'ils sous-entendent là.

(de plus, la doc community lag parfois dans les mises à jour)

[Mélodie]

Le plus simple est encore un iptables -L

Je ne crois pas que ce soit plus simple pour moi.

[athanor@squirrel Edubuntu]$ pwd
/mnt/Edubuntu

[athanor@squirrel Edubuntu]$ sudo chroot .

root@squirrel:/# iptables -L
Le programme 'iptables' n'est pas installé actuellement. Vous pouvez l'installer en tapant :
apt-get install iptables
bash: iptables : commande introuvable
root@squirrel:/#

Ce que je défends ici est un principe, celui de sourcer des affirmations. Admettons que j'installe iptables pour vérifier la validité de tes dires, que ferais-je du résultat si je ne dispose pas de la connaissance permettant de l'interpréter ? Si je me fies à ce que tu dis, sans vérifier, ça revient à croire n'importe quoi de la part de n'importe qui, hors à mon avis, une des premières règles de sécurité est basée sur le fait de pouvoir vérifier des informations. Un exemple type, beaucoup ont entendu parler d'un gars qui a lancé pour de vrai un 'rm -Rf /' à la suite d'un conseil donné pour de rire sur un forum ubuntu ? Eh bien le principe qui anime ma démarche est un peu eu égard à ce genre de souci : croire oui, mais toujours avec des possibilités de vérifier grâce à l'apport d'autres sources (parce que des rumeurs, y'en a plein le web... )

Tu peux remarquer que j'ai fait l'effort d'aller chercher de l'information relative à la sécurité sur le site officiel de ubuntu : http://www.ubuntu.com et des liens qui y sont fournis. Ne pourrais-tu pointer vers des discussions enregistrées sur le web pour étayer ce que tu dis ? Ce serait déjà un début.

Il y aura des personnes qui viendront lire ici bien longtemps après que j'aurais cessé de m'intéresser à ce fil...
Peut-être à défaut de savoir trouver des sources fiables pour apporter de l'eau à ton moulin, voudrais-tu nous montrer ce que iptables -L donne chez toi, avec firewall activé, et avec firewall désactivé ?

[didrocks]

Encore une fois avant de monter sur tes grands chevaux, regarde un peu et vérifie avant de crier :

iptables est LE système de firewall que tout linuxien un peu plus avancé doit connaître puisque c'est l'interface priviligiée qui permet de communiquer avec le module NetFilter du noyau, cf un lien sur wikipédia. Mais ça, tu devais déjà le savoir...
Cependant, tous ces détails risquent de perturber le nouveau venu et l'on trouve plus de documentation sur iptables que Netfilter.

De plus, avant d'essayer de casser, regarde un peu ta version. Que ce soit sur ma hardy ou sur intrepid:

Code: Tout sélectionner

didrocks@DidSCU:~$apt-cache rdepends iptables
[...]
ubuntu-standard


ubuntu-standard ? oh, le métapaquet qui est installé sur toutes les machines desktop, donc seedé par défaut ! Donc oui, iptables, qui n'est qu'une interface en ligne de commande est installé PAR DEFAUT (au moins sur hardy et intrepid).

Si tu veux requêter netfilter, tu dois donc utiliser iptables :

didrocks@DidSCU:~$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 8.04
Release: 8.04
Codename: hardy
didrocks@DidSCU:~$ iptables
iptables v1.3.8: no command specified
Try `iptables -h' or 'iptables --help' for more information.
didrocks@DidSCU:~$ sudo iptables -L
[sudo] password for didrocks:
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

INPUT, FORWARD et OUTPUT sont en policy ACCEPT. Il n'y a pas d'exception sur ce qui nous intéresse plus particulièrement (traffic rentrant à destination de la machine : Chain INPUT et traffic traversant la machine pour les machines proxy/firewall : Chain FORWARD...). Après, il te suffit de lire, par exemple, [url="http://doc.ubuntu-fr.org/iptables"]cette documentation sur iptables[/url] pour comprendre un peu plus son utilisation.

Ici, je ne faisais à l'origine que répondre à une question/remarque posée sur le forum, je ne vais pas m'amuser à lire toutes tes commentaires car je pourrais sans problème, je pense, pointer un de tes conseils sans lien.

Je m'arrêterai là, créer de l'entropie, c'est bien pour corriger les failles SSH, mais je préfère utiliser mon énergie à des choses plus constructives pour le monde du Libre...

PS : C'est sûr que de citer une url vers un forum est autrement plus robuste...

[Mélodie]

PS : C'est sûr que de citer une url vers un forum est autrement plus robuste...

Pas mal, comment as-tu trouvé ce fil ?
Bonne journée,
mélodie.

PS: ta démonstration avec ton iptables me semble mieux de nature à apporter un éclairage compréhensible que précédemment. Et gardes-moi quelques grands chevaux.

[didrocks]

Exactement, la politique par défaut du desktop ubuntu est de laisser tous les ports ouverts

65000 et quelques ports ouverts à tous vents ? Ce serait étonnant !
Jetez un coup d'oeil sur ces trois posts ?

Ton poste du 24. On est amnésique ?

PS : Je veux bien t'en garder de côté, mais ça risque de coûter cher en foin et vu l'hiver qui s'annonce...