Salut;
Mes parents ont fait les frais à noel sur un portable Amilo M1425 pour ma petite soeur (17 ans mais bon ce sera tjrs ma petite ... soeur) et je lui ai installé la distrib ubuntu, vraiment parfait : user friendly, juste quelques problème avec totem et l'install de samba mais sinon tout c'est vraiment bien passé. Ubuntu rempli bien son objectif.
Seulement j'aimerais lui installer un firewall histoire que quand elle active samba sa machine ne soit pas un trou béant de sécurité, mais je voudrais rester dans l'esprit de la ubuntu c'est à dire une application simple à configurer. La distrib ne fournit pas de firewall pour l'instant mais je vais taper dans les des de débian.
Je voudrais avoir votre avis sur les différents firewall/frontend, je me suis déja informé à propos de guarddog et firestarter, shorwall est peut etre un peu trop technique pour elle.
Bref votre avis m'interesse, au pire j'installe firestarter mais je préférerais avant plus d'information d'experts :-)
PS : l'utilisateur Soeur si l'interface est bien concu peut tout à fait configurer son firewall, elle n'est pas newb 100% en info.
Merci d'avance
Journal Firewall
27
déc.
2004
# Solution?
Posté par Ph Husson (site web personnel) . Évalué à 6.
http://www.fs-security.com/(...)
(Malgré le .com c'est bien un projet libre)
PS:Elle se débrouille si bien avec ubuntu? La mienne (la grande petite ;o) elle arrive à casser tt ce que je lui installe sans le pass root en meme pas 6 mois (testé avec une mandrake & une knoppix)
[^] # Re: Solution?
Posté par SubBass . Évalué à 7.
sinon, sans parler de firewalls, il y a aussi la directive 'host allow' du smb.conf
le port sera toujours ouvert, mais samba refusera toute connexion non désirée.
par ex : host allow = 192.168.1. 127.0.0.1 EXCEPT 192.168.1.1
autorisera toutes les machines dont l'ip commencera par 192.168.1. , le localhost et refusera 192.168.1.1 (ton routeur par ex)
ou encore : host allow = 10.69.100.64/255.255.255.192 autorisera uniquement ce sous réseau.
[^] # Re: Solution?
Posté par fabrice Mercier . Évalué à 2.
C'est clair que c'est super simple
[^] # Re: Solution?
Posté par SubBass . Évalué à 4.
les ports seront toujours accessibles, et des failles éventuelles sur le protocole smb seront donc par conséquent expoitables.
il s'agit de configurer samba pour autoriser ou refuser la connexion en fonction de l'ip. ce n'est pas comparable au firewall en terme de sécurité pure, mais ce sera je pense suffisant pour ton cas.
[^] # Re: Solution?
Posté par Ph Husson (site web personnel) . Évalué à 3.
C'est pas des failles du protocoles smb
Je m'explique par rapport à de la programmation de chaussettes (oui bon sockets, mais chaussettes ca sonne mieux ;o) sous Unix:
Donc on dit d'ecouter sur le port XYZ: bind()
on dit qu'on est pret à ecouter N clients à la fois: listen()
Et on attends les clients proprement dit: accept()
Pour simplifier accept prend comme argument l'id de la chaussette,
et renvoi (bon c'est en pointeur en argument mais on fait comme si) qui contient l'ip le port (et un autre truc me souviens plus quoi) du client.
Donc il suffit de tester l'ip ici, ce qui est relativement aisé, donc il y a peu de chance de trouvé une faille: en effet ou ca marche ou ca marche pas auquel cas on le remarque de suite :)
PS:Bon apres samba fait peut être pas comme ca mais je vois pas comment faire autrement
PPS:Ah oui l'ip spoofing aussi :/
[^] # Re: Solution?
Posté par Ph Husson (site web personnel) . Évalué à 1.
Oui bon ca va
Mais la il avais une bonne raison lui :p
Sinon pour le smb.conf c'est bien c'est ce que je voulais proposer mais comme j'avais pas envie de chercher de doc j'ai dit firestarter :p
Sinon si c'est une machine multi-interface (cad une interface locale et une interface internet), il doit y avoir une option bind qui dit de n'ecouter que du cote local, et la c'est le kernel qui "filtre" (c'est meme pas filtrer mais bref), ainsi les perfs sont améliorés (oui on s'en fou en local mais ca le fait ;o)
[^] # Re: Solution?
Posté par fabrice Mercier . Évalué à 2.
Je lui est déja installé quand elle avait 13 ans une débian alors tu sais elle sais ce que c'est un xterm :-)
[^] # Re: Solution?
Posté par Christophe HENRY (site web personnel) . Évalué à 1.
- démarrage automatique
- édition facile des règles
- "iconification"
Par contre, il faut pas faire de iptables -L sous peine de traumatisme :-o
Just un petit détail, il faudrait pouvoir autoriser les logiciels à sortir ou non. Lutte contre les espigiciels (à venir) oblige !
# Réflexion..
Posté par ploum (site web personnel, Mastodon) . Évalué à 9.
Si tu utilises Samba, tu es dans un réseau local. Donc à priori, mieux vaut mettre un firewall sur la passerelle qui empêche samba de sortir du LAN (iptables rox :-) ).
En fait, à part des réflexes de windowsiens, je n'arrive pas à voir l'utilité d'un firewall sur une machine personnelle. Pour moi un firewall doit être sur une passerelle ou une machine qui sert de serveur vers l'extérieur.
Mais c'est juste une réflexion, si qqn peut m'expliquer l'utilité d'un firewall sur une machine personnelle (sur laquelle de plus aucun service serveur ne tournerait), je suis preneur.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: Réflexion..
Posté par niol (site web personnel) . Évalué à 6.
Et bien par exemple dans le cas d'un ordinateur portable, que tu aurais souvent sur toi, et avec lequel tu te connecterais à des réseaux étrangers (grâce au Wifi), du genre dans un aéroport ou dans un hôtel...
Personnellement, je ne voudrais pas que les gens qui sont connectés au même réseau Wifi que moi puissent ne serais-ce que scanner les services en écoute sur mon ordinateur...
[^] # Re: Réflexion..
Posté par fabrice Mercier . Évalué à 2.
[^] # Re: Réflexion..
Posté par SubBass . Évalué à 2.
ça se fait rare, même sur une machine personnelle...
[^] # Re: Réflexion..
Posté par fabrice Mercier . Évalué à 1.
[^] # Re: Réflexion..
Posté par Christophe HENRY (site web personnel) . Évalué à 5.
L'installation de logiciels propriétaires.
GNU/Linux est surtout utilisé par des gens initiés et par des copains de gens initités. Si notre système gagne un popularité, qu'est-ce-qui empêchera un fabriquant d'imprimante de mettre un espiogiciel dans son pilote ?
Pareil en ce qui concerne tous les autres petits utilitaires "gratuits" qui accèdent au réseau sans notre permission.
Enfin, si un jour un virus devait être exécuté (par le biais de Outlook Express Linux Edition, par exemple), il faudra bien bloquer l'écoute au serveur SMTP (sur un port élevé connu par l'émetteur) parasite utilisable par les spammeurs.
Sous Windows, je vois les pare-feux comme une protection contre les failles du système mais surtout contre certains des logiciels installés. Linux y sera exposé tôt ou tard.
# smb.conf
Posté par zouf . Évalué à -2.
Les directives hosts allow et interfaces du smb.conf sont sympa
man smb.conf :) airtéhéfém :D
------>[]
# A propos de cela ..
Posté par Loic Jaquemet . Évalué à -2.
voilàvoilà ....
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.