Mandrake 9.1: Installation non sécurisée par défaut

Mandrake 9.1: Installation non sécurisée par défaut - Linux et OS Alternatifs

Marsh Posté le 28-12-2004 à 10:24:35    

Salut à toutes et à tous,
 
Je débute sur la Mandrake, mais pas sur Unix... Et je suis paumé!!! Parce que d'habitude, les stations qu'on installe sont sur des LAN et n'ont pas besoin de tout l'arsenal sécuritaire que l'on trouve aujourd'hui sur Linux.
 
Mon but est d'avoir un serveur de fichiers qui exporte sous NFS et Samba. Je connais bien ces deux protocoles et leurs configurations.
 
J'ai lu les topics débutants proposés sur le forum. Mais je ne trouve pas ce que je recherche.
 
Y a-t-il un moyen d'avoir une installation absolument pas sécurisée du tout sur Mandrake? Quitte à remonter le niveau de sécurité petit à petit.
 
Là, je suis bloqué de partout! Ma machine trouve bien son IP par le DHCP du routeur, elle accède à Internet sans problème. Mais impossible d'y accéder par quelque côté que ce soit... J'ai beau essayer de dézinguer les daemon que je trouve et qui me paraisse inutiles, après un reboot, tout est verrouillé.
 
Donc, en fait, je préfère partir d'une config dépouillée (tout ouvert, pas de ssh, de ports bloqué, etc), pour petit à petit, monter les packages et les filtres nécessaires. Sachant que mon routeur est déjà firewallé, y a pas grand chose qui arrivent sur les ordis du réseau local, donc je n'ai pas besoin de tous ces boucliers actifs par défaut dans l'install de la MDK 9.1!!!
 
Un point de départ? Le topic qui tue?
Merci.
Tchô

Reply

Marsh Posté le 28-12-2004 à 10:24:35   

Reply

Marsh Posté le 28-12-2004 à 10:58:39    

tu choisis le niveau de sécurité standard


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 28-12-2004 à 11:33:37    

Vi, vi, vi... Ch'uis pas newbie à ce point!!! C'est ce que j'ai choisi pendant l'installation avec les CD. C'est ce qu'indique draksec dans le Mandrake Control Center.
 
Netstat -a indique que les ports netbios sont ouverts et listen.
Samba est dans le bon groupe, a bien un hosts allow qui correspond à la plage du LAN et est en security = share. Mais les clients Windows ne voient rien.
 
Par défaut, il y a un vncserver qui tourne, un httpd, un ftpd, etc. Tous ces services sont refusés ou invisibles par les autres machines du réseau...

Reply

Marsh Posté le 28-12-2004 à 11:38:45    

regarde si iptables ou shorewall est lancé et désactive le si c'est le cas


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 28-12-2004 à 11:41:59    

en effet tu as du activer le firewall


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 28-12-2004 à 12:18:20    

Mjules a écrit :

regarde si iptables ou shorewall est lancé et désactive le si c'est le cas

Ah ben oui, c'est cui-là: Shorewall!!! Thx a lot!
 
Sauf que quand je le stoppe, y a plus rien qui fonctionne au niveau réseau!!!
Je vois que lorsque je le 'start', il lance les ipchains et masquerade... Sauf que je n'ai jamais défini de règle ni quoi ni qu'est-ce???!
 
Il y a un config graphique de shorewall ou il faut se taper les 'rules' à la main?


Message édité par mikeleetoris le 28-12-2004 à 12:18:49
Reply

Marsh Posté le 28-12-2004 à 13:05:10    

il y a un assistant ( MCC -> sécurité -> Firewall )
 
mais surtout il y a 2 lignes à ajouter afin d'autoriser les connexion du réseau local vers le serveur.
 
dans /etc/shorewall/policy , il faut ajouter les 2 lignes suivantes :
 


fw      loc     ACCEPT
loc      fw     ACCEPT


 
ensuite tu redémarres le firewall : service shorewall restart
 
 
et voilà.


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 28-12-2004 à 14:40:21    

Ah cool, cette info m'oriente bien là où il faut faire quelques modifs!
 
Sauf que voilà, j'insiste hein, je n'ai rien trifouillé à cet endroit avant d'appeler au secours! Et visiblement, shorewall était actif par défaut, malgré l'install de sécurité en mode standard. Bref.
 
Alors il y a un truc qui m'étonne en lisant les fichiers de conf, que ce soit dans policy, rules ou zones, je n'ai aucune zone qui correspond à loc. Ce qui est bien con, parce que du coup on dirait que shorewall gère deux zones à la fois trop larges et trop restreintes: all et fw...
 
Comment puis-je (dans quel fichier de conf de shorewall) définir ma zone LAN (192.168.x.x/255.255.255.x)?
Je suppose que c'est dans 'interfaces'? Il faut mettre une ligne du style:
loc  eth0  192.168.x.x/24
 
Sauf que... Il va pas y avoir un conflit entre net et loc? En fait, en lisant des pages sur la conf de shorewall, il font toujours une différence entre net et loc parce qu'il y a plusieurs interfaces réseau. Mais quand on n'a qu'une carte réseau et qu'on est derrière un routeur??? Quelle est la zone la plus utile? C'est plutôt loc.
 
Dans 'rules', je vois qu'une règle:
ACCEPT  net     fw      tcp    {liste de ports} -
 
Or, lorsque j'aurais fait comprendre à shorewall qu'il y a une zone locale, il faudra soit lui dire que tout est permis dans tous les sens dans cette zone. Ou au moins ajouter une 'rule' telle que:
ACCEPT loc fw tcp,udp    137,138,139 -
pour les ports de netbios samba.
 
J'ai bon?! Ou il faut faire différement?


Message édité par mikeleetoris le 28-12-2004 à 14:54:43
Reply

Marsh Posté le 28-12-2004 à 18:36:52    

shorewall s'active lorsque le partage de connexion est activé car pour partager une connexion internet il faut iptable et iptable est un firewall
 
CQFD
 
relance l'utilitaire de partage de la connexion et choisi bien les interfaces. tu dois avoir 2 cartes réseaux ( eth0 et eth1 ) pour cela ou une connexion modem ( ppp0 ) et une carte réseau ( eth0 )


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed