DEDIBOX-NEWS.COM

cleweb a écrit:

en gros avec iptable :

iptables -A INPUT -s mon-ip -j ACCEPT     # Autorise L'accès depuis mon ip
iptables -A INPUT -s !mon-ip -j DROP   #rejette les acces qui ne viennent pas de mon ip

c bien ca ?

Oui ajoute -i ethx

mr.tux a écrit:

Joker-eph a écrit:

Et un Troll, un...

Tu peut m'expliquer en quoi je suis un "Troll" ?
T'es gentil mais tu viens t'incruster dans le post pour faire un commentaire hautement constructif ...
Et oui y'a pas Nero ou Alchool sous Linux ni de pile wifi correcte et ne viens pas me dire que wpa supplicant de mes c..... c'est bien.
Moi je dit Linux oui mais pour quoi faire à la maison ? Donne moi des exemples je suis sur que tu préfere The Gimp car c'est plus "old school" ou tu kiffe de telecharger 34 mo de dependances pour faire tourné un soft de 500 Ko....

Désolé, c'est off-topic mais c'est plus fort que moi, je résiste pas aux Trölls.... :ph34r:

Non, en fait j'ai juste quelques questions :
- quelle distrib tu as testé ?
- il y a combien de temps ?
- Connais-tu K3B ?
- Quel logiciel de dessin utilises-tu ?
- Pourrais-tu, pour info, nous dire à combien s'élève le coût des licences de tes logiciels ?

Ensuite, pour répondre à d'autres, voici quelques sites avec des documentations intéressantes :
- http://www.lea-linux.org
- http://www.ubuntu-fr.org
- http://www.tldp.org/
- http://www.google.fr/linux

Vous voulez un premier conseil pour utiliser IPTABLES ? essayez 'man iptables'

Pour savoir à quoi sert la commande 'man', tapez 'whatis man' : an interface to the on-line reference manuals

Et tant qu'on y est 'whatis whatis' : display manual page descriptions

Désolé pour le ton de ce post et des précédents, mais je souhaitais juste faire remarquer qu'il existe des hébergements web pour BEAUCOUP moins cher que la Dédibox. Et je continue de penser qu'il faut avoir un 'minimum' de connaissance des systèmes GNU/Linux avant de prendre un serveur dédié...

Pour ce qui est de la première réponse qui parlait d'un open relay SMTP, le ton n'y était pas non plus mais le posteur a raison, ce n'est pas tant un problème de bande passante, mais plutôt le risque de voir les plages IP Dédibox apparaître sur des sites comme http://www.ordb.org/ ou http://dmoz.org/Computers/Internet/Abus … acklists/. Pour information ces sites sont utilisés par beaucoup de MTA (Mail Transfer Agent) pour voir si le serveur SMTP envoyant le message n'est pas en OpenRelay (Relais Ouvert). Si l'adresse IP est trouvée, l'e-mail est refusé; plutôt frustrant pour un client Dédibox qui a correctement paramétré son serveur mais qui est blacklisté car d'autres n'ont pas été capables de prendre le temps d'apprendre avant de lancer un serveur en production sur la toile.

Spoofing (définition Wikipedia) : L’IP spoofing est une technique de hacking consistant à utiliser l'adresse IP d'une machine, ou d'un équipement, afin d'en usurper l'identité. Elle permet de récupérer l'accès à des informations en se faisant passer pour la machine dont on spoofe l'adresse IP. De manière plus précise, cette technique permet la création de paquets IP avec une adresse IP source appartenant à quelqu'un d'autre.

Synflood : L'utilitaire SynFlood permet l'envoi massif de demande d'ouverture de session TCP. L'intérêt de cet utilitaire est de pouvoir changer son Ip source de manière aléatoire. En gros, en utilisant ce logiciel tu surcharges le serveur cible de manière à le rendre inaccessible, voir le faire planter...

Ton script IPTABLES semble correct. Cependant, j'aurrais tendance à bloquer les connexions sortantes par défaut (ligne 14, remplacer ACCEPT par DROP)

Un extrait d'un script iptables que j'ai gardé en réserve, avec quelques retouches pour coller au sujet :

# Ici l'interface réseau côté WAN (Wide Area Network ou Internet) est eth1
# On autorise le trafic entrant (INPUT) par l'interface eth1 (-i) depuis 
# la source 82.227.23.xxx (-s) en utilisant le port de destination 22 (--dport)
# et le protocole TCP (-p)
# On accepte les connexions de type NEW, ESTABLISHED et RELATED
iptables -A INPUT -i eth1 -s 82.227.23.xxx -m state \
  --state NEW,ESTABLISHED,RELATED -p tcp --dport 22 -j LOG_ACCEPT

# On autorise le trafic sortant (OUTPUT) par l'interface eth1 (-o) à 
# destination de 82.227.23.xxx (-d) en utilisant le port de sortie 22 (--sport)
# et le protocole TCP (-p)
# On note que les connexions de type NEW ne sont pas autorisées, ce qui signifie
# que le serveur ne pourra pas établir de nouvelle connexion vers mon client mais
# uniquement répondre à une connexion initialisée par mon client 82.227.23.xxx
# je te conseille à nouveau la lecture du 'man iptables' pour jeter un coup d'oeil à
# RELATED
iptables -A OUTPUT -o eth1 -d 82.227.23.xxx -m state \
  --state ESTABLISHED,RELATED -p tcp --sport 22 -j LOG_ACCEPT

Bloquer les connexions sortantes n'a peut-être pas de sens pour toi, mais le meilleur filtrage est de TOUT fermer, puis d'ouvrir les ports un par un selon les besoins. Par exemple tu n'autorises les nouvelles connexions en sortie que sur le port 21 et l'ip de ftp.free.fr pour pouvoir faire tes mises à jour de sécurité sans problème.
Sinon, si quelqu'un arrive à déposer un script par une faille quelconque, son script pourra ensuite aller télécharger d'autres scripts qui s'installeront et pourriront ton système.

En espérant t'avoir aidé...

Bonne soirée & Bon WE

++

Tout dépend de quelle manière le script est déposé, mais c'est très difficile de trouver une faille qui donne les accès root tout de même.
Je parlais d'un hack dont j'ai été victime en première page de ce topic et c'est cette expérience qui me fait dire ça.

Prenons un serveur web Apache qui tourne sous Debian : le compte utilisateur auquel appartiennent les processus Apache est www-data qui n'a aucun droits hormis celui de faire tourner Apache et....d'écrire dans /tmp
Les mecs qui m'ont hacké ont donc profité d'une faille dans l'application Awstats et ont déposé un fichier dans /tmp, qui est ensuite allé récupérer d'autres fichiers pour les placer dans /tmp et les éxécuter. Cependant ils n'avaient que les accès du compte www-data (et donc pas d'accès au shell).

Dans le cas où ton IPTABLES ne filtre pas les connexions sortantes, tu leur facilites le travail. Je ne pense pas Troller en disant ça ;-)
Et bien sûr ton script IPTABLES n'est autorisé en écriture que pour le compte root, donc non modifiable pour un autre utilisateur.

Sinon, K3b est un logiciel de gravure sous KDE qui est très performant et très intuitif (Licence GNU/GPL). Je me permet de préciser également qu'il existe une version de Nero pour GNU/Linux (démo ici : http://www.nero.com/fra/nerolinux-prog.html ).

Pour ce qui est des licences de tes logiciels et OS, si ta boîte te les paie je comprends que tu préfères utiliser des applications professionnelles. Effectivement je ne pense pas que The Gimp soit au niveau, mais il est largement plus performant que PaintBrush, logiciel de dessin fournit gracieusement pas l'OS de Redmond.

Quand à utiliser une distribution GNU/Linux sur un PC Familial, c'est tout à fait possible. On peut graver, naviguer sur Internet, utiliser une suite bureautique, gérer ses e-mails, utiliser une messagerie instantanée (même MSN, oui oui), lire des fichiers audio et vidéos, et j'en passe.
En tant que Workstation en entreprise, c'est plus compliqué car souvent les sociétés utilisent des applications n'existant que sous Windows ou MacOS (les ERP entre autres)

M'enfin, les goûts et les couleurs, ça se discute pas.

@jonathanl > tu t'en sors avec IPTABLES ?

perso, j'ai installé VHCS pour installer plusieurs sites.
Y a une démo de l'interface ici : http://vhcs.net/new/modules/wfchannel/i … ?pagenum=7
C'est tres tres simple a utiliser et ca m'évite de mettre les mains dans le camboui.

Je vais faire un tuto sur l'installation de VHCS sur une dédibox, ca peut interesser certains.

J'ai appliqué un patch de sécurité pour résoudre le probleme.
Par contre pour iptable, je suis prenneur si y a un tuto.

ActaTux a écrit:

Il faut quand même configurer iptables.

Au passage, en cherchant 'iptables' sur leur site, la première réponse est "I've been hacked..." en date du 10/05/2006 : http://vhcs.net/new/modules/newbb/viewt … mp;start=0

Bon courage.

++

Il n'avais pas appliquer le patch de sécurité en meme temps