[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Demande de conseils concernant la securisation d'une patate

Salut a tous

Ca faisait un petit moment que ca me tarraudait, j'ai profite de ce week end
pour passer mon "firewall" sous potato (avant il tournait avec une Slack).
Contrairement a ma station de travail qui est plus ou moins "wide open",
j'aimerais securiser a peu pres correctement cette machine, a commencer par
- montage en read only de certaines partition
- fermeture de tous les ports inutiles
- filtrage du traffic avec snort
- definitions de regles ipchains tres restrictives
- patch du kernel (openwall)

A ce sujet je me suis pose pas mal de questions, et une tite recherche sur
le web a repondu a la plupart mais il en reste quelques une que je me
permets de vous soumettre.

1 - Comme je connais bien moins bien l'init a la systeme V que l'init BSD
(longue pratique de la famille des BSD et de la Slack oblige), je trouve
assez bizarre le style d'ecriture des regles ipchains dans n fichiers dans
le directory /etc/ipmasq/rules/

Auriez vous un pointeur (URL, man page) qui explique comment comprendre
l'architecture afin de me permettre de reecrire toutes les regles selon mon
bon plaisir ? Je n'ai aucun probleme avec ipchains, mais tous ces fichiers
me semblent deroutants.

2 - A priori je compte monter /var /tmp et /home et read-write.
 /, /usr et /boot seraient en read-only. Verriez vous un meilleur
partitionnement ou un montage encore plus fin ?

3 - le port 6000 (X) apparait lorsque je scanne ma machine depuis une autre.
Est il possible d'utiliser X sans que ce port ne soit visible de l'exterieur
?

4 - malgre mes nombreuses tentatives je n'ai jamais reussi a configurer
proprement postfix pour que le serveur smtp soit "beton" point de vue
securite. Est il possible de ne pas mettre de serveur de mail sur une
machine (mais dans ce cas comment fonctionnent cron et tous les logiciels
qui ont besoinn d'envoyer des mails, ne serait ce qu'a root?). Auriez vous
un pointeur sur un didactitiel postfix ?

5 - je ne suis certainement pas un expert en securite, aussi si vous pensez
detenir de bons conseils pour securiser une machine, n'ehsitez pas a m'en
faire profiter.


Merci pour votre aide
Cordialement
Amaury
Reply to: