Discussion :

[Michaël]

bonjour,
pour voir un peu quels ports étaient ouverts sur mon serveur, j'ai lancé nmap. voici ce qu'il m'a dit

(The 31332 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
111/tcp open rpcbind
113/tcp open auth
961/tcp open unknown
111/udp open|filtered rpcbind
955/udp open|filtered unknown
958/udp open|filtered unknown

ssh et apache sont des services voulus mais rpcbind, auth : je ne vois pas à quoi ça me sert... quant aux unknown, je voudrais bien savoir à quoi il correspond.

sur mon serveur, je veux "juste" avoir un serveur apache (80), mysql, ssh (22), mail (port 25 et 110) et c'est tout. le serveur mysql ne doit pas être disponible sur internet donc je ne dois pas avoir le port 3306 ouvert : ça ne me sert à rien puisque les applis php pourront se connecter en localhost.

je voudrais fermer les ports "inutiles" (111, 113, 955, 958 et 961). en mettant une règle iptables, ça met filtered au lieu de open mais je ne sais pas si c'est suffisant

[Katyucha]

Regarde dans le fichier /etc/inetd.conf si ces services ne trainent pas dedans.

Si tu lances ssh via un démon et non via inetd, tu peux carrément arrêter inetd.

[ggnore]

l'utilisation d'iptables peut être une vraie galère.
Pour ma part j'utilise shorewall qui génère les règles iptables.

[Michaël]

j'ai enlevé inetd. je n'ai plus que rpcbind qui tourne en service non voulu. quand je fais un nmap sur udp, j'ai le port rpcbind et un autre port aléatoire : j'ai relancé plusieurs fois nmap et à chaque fois un port différent : ça varie en 32000 et 54000 (en gros). alors est-ce que c'est un port utilisé par nmap pour faire son analyse...?

shorewall, ben il va falloir que je vois si iptables me prend trop la tête
j'ai pas envie d'être emm**** tous les deux jours parce que mon serveur s'est fait zigouillé. au fait, il y a des recettes à appliquer pour éviter d'avoir un déni de service compte tenu de ce qui va être ouvert ?

[oligig]

shorewall est un sof qui permet de gérer le firewall d'après ce que je vois, c'est bien comme outil ? Ca marche comment ?

[Michaël]

apparemment, shorewall c'est iptables en moins compliqué. certainnement plus orienté newbie (mais que fais-je avec iptables ?)

pour rpcbind, c'est juste portmap qui était lancé. j'ai pas de nfs à faire donc je vire portmap aussi

[ggnore]

apparemment, shorewall c'est iptables en moins compliqué. certainnement plus orienté newbie (mais que fais-je avec iptables ?)

pour rpcbind, c'est juste portmap qui était lancé. j'ai pas de nfs à faire donc je vire portmap aussi

Si être facilement compréhensible, c'est être orienté newbie, alors oui.