Re: ssh et sshd en cul-de-sac
On Wed, 18 Dec 2002 12:15:51 +0100
Georges Mariano <georges.mariano@inrets.fr> wrote:
> Je considère cette machine comme particulièrement sensible car elle
> contient un serveur web et donc le fameux port 80 ouvert. En
> conséquence, dans l'hypothèse où quelqu'un (root ou pas) pénètre par ce
> trou de souris, je ne voudrais toutefois pas lui faciliter la tâche en
> lui laissant à disposition des outils non-nécessaires à la machine
> (serveur apache/sympa/squid). J'ai ainsi éliminer un tas de truc
> inutiles genre nmap [et j'en passe];-), monter en ro,noexec la zone
> utilisateur servie par apache etc etc
Je ne comprends pas bien ton but, si tu veux qu'en cas d'intrusion on
ne puisse pas atteindre des machines dans le réseau interne, ca se fait
avec un firewall entre les deux qui bloque les paquets dans ce sens, en
mettant ce serveur public dans une dmz.
C'est illusoire de croire qu'en enlevant des binaires tu limiteras efficacement
ce qui pourra être fait à partir de cette machine, bien sûr c'est mieux mais
ca ne garantit rien.
Tu limite statistiquement la probabilité d'avoir une faille en supprimant
des services inutiles, mais supprimer le client ssh ne sert pas à grand chose,
il restera toujours un moyen de le créer.
Il y a des exploits qui créent des binaires à partir d'un shell script, des trojans
qui écoutent sur un port IRC et attendent des ordres pour lancer des ddos, etc.
Alain
Reply to: