iptables et netstat? Lancer le par feu avec un compte utilisateur

discret · 12-09-2016 11:52:27

Bonjour à toutes et a tous,

Voila je viens de tenter une opération sur mon pc je vais faire pour que ce soit bref.

Donc cette opération est celle-ci créer et parametrer ipatbles sur un compte utilisateur secondaire au compte route! Il n'y a que moi qui utilise mon pc

Donc dans ma logique je me suis dit si je construit mon par feu suivant les règle iptables aproprié à mon utilisation et le faire sur un compte secondaire afin d'isoler le compte principal j'arriverais en ce sens a créer une prison et sécuriser ainsi mon system et mes données!

Voila donc j'ai créer mon mon compte secondaire parametré iptables allumé tous ça nikel!

scanné avec nmap pour voir le résultat.

DOnc jusque la tous vas bien et puis je me suis dit tiens, si je lançai dans le terminal une commande netstat -n par exemple!!

et la je me suis rendu compte que malheureusement les données netstat concernant les ip connecté n'apparaisse pas! Je n'ai que les connexion system qui s'affiche!

Donc dans ma logique je me suis dit que c'etais normal vue la manip que j'ai fait !

Cependant je viens quand même poser la question ici! alors est ce normal?
Merci par avance

Dernière modification par discret (13-09-2016 14:13:48)

discret · 12-09-2016 21:48:02

merci Pour ta reflexion

en effet Iptables est pour ainsi dire manipuler en root ...
Maintenant utiliser iptables sur un serveur ok mais prendre son pc pour un serveur la il y a un risque est c'est justement ce que j'aimerais éviter (juste pour le plaisr de mettre iptables en place dans ce sens).

si je vai sur mon compte secondaire et que j'ouvre un terminal avec la commande

$ su nom de l'utilisateur

je prend la main sur iptables par le biais de mon compte secondaire en étans devenu superutilisateur sur mon compte utilisateur secondaire !une fois fait je compose mon par feu en root et la je le créer mon par feu mais en passant par mon compte secondaire ce qui apparemment change la donne! 'j'ai un peut de mal a l'expliquer mais dans ce que je sais c'est faisable!

ce qui me permettrais de pouvoir faire de ma machine un serveur tout en protégeant les données sur mon compte utilisateur root!

Puisque vue sous cette forme mon utilisateur secondaire agirai lui comme en quelque sorte une prison!

un serveur a ce défault c'est celui de disposer de droit élevé!

C'est la tous le but de ma démarche!

Dernière modification par discret (12-09-2016 22:03:29)

penthium2 · 12-09-2016 21:57:04

non on ne prends pas la main avec :

 su nom

mais avec :

 su - nom

le "-" fait que tu deviens 100% l'utilisateur cible !

Dernière modification par penthium2 (12-09-2016 21:57:22)

discret · 12-09-2016 22:05:32

Merci chère modérateur pour la précision malheureusement je n'ais pas trop l'habitude des forums et surtout d'expliquer ce que je fait j'ai vue ton message j'étais en pleine correction pffiiiuuu...

en faite moi je le fait en deux étape

su

la premiere et ensuite

sudo su

pour manipuler ensuite iptables sans avoir besoin de mètre sudo et le mot de passe a chaque fois smile

donc toi ta commande serais plus direct et éviter la deuxième commande?!

Mais dit moi toi qui t'y connais tu sais que c'est faisable ce que je veux faire et que c'est même conseiller sur un pc?

Dernière modification par discret (12-09-2016 22:15:01)

discret · 13-09-2016 14:03:12

et bien en ce qui concerne mes règles elle sont a peaufiner (je ne doute aucunement de ton esprit technique pour pouvoir m'expliquer plein d’erreurs commise au sujet de des règles iptables wink

il est sur que par contre le but de ma manœuvre et de start iptables avec un compte utilisateur non root ou alors qu'il n’ai que se privilège pour allumer le par feu!

Maintenant je sais que cela se fait j'ai récupérer une doc il y a bien longtemps, traitant de ce sujet! smile

IL est clair que pour moi linux est un obis mais c'est surtout une technologie que je veux savoir manipuler au niveau de la sécurité de mes données alors je me débrouille comme je peut!

Puis a savoir que je ne vais pas m'arrêter la je compte aussi paramétrer fail2ban et etc... hmm

Merci pour ta réponse

Dernière modification par discret (13-09-2016 14:23:33)

discret · 13-09-2016 14:06:53

Voici ce que j'ai lu chapitre ||-4

[== Indéfini ==]
L’utilisateur : Faire tourner un serveur, c’est bien. Mais ce programme là tourne avec quels droits ? Je m’explique : Sous Linux, nous avons
différents utilisateurs (par exemple "olivier"), qui ont leur propre compte, et qui utilisent des logiciels. Si l’utilisateur fait un erreur en utilisant un
logiciel (ou que celui-ci fasse une erreur), les conséquences ne pourront avoir lieu qu’avec les droits de l’utilisateur.
Par exemple, la commande "rm -rf /" va avoir pour conséquence de supprimer tous les fichiers et tous les répertoires accessibles par la machine
(Non, je ne ferais pas un exemple de cette commande, même pour vous faire plaisir...
). Tout les fichiers vont être détruits ? Non, en fait seul
ceux dont l’utilisateur "olivier" a les droits d’écriture y passerons, à commencer par les fichiers de "/home/olivier". Mais les principaux fichiers de
la machines (les exécutables, les fichiers de configuration, etc...), et les fichiers des autres utilisateurs seront épargnés. Ouf...
Oui, mais si la commande "rm -rf /" avait été lancé par l’utilisateur root, que ce serait t’il passé ? Et bien, je n’aurais eu plus qu’à m’arracher les
cheveux, et tout réinstaller.
Ce petit exemple a pour but de vous faire prendre conscience des problèmes de droits d’accès.


Ce petit exemple a pour but de vous faire prendre conscience des problèmes de droits d’accès. Imaginez maintenant qu’un programme serveur
soit lancé avec les droits root, et que d’une manière ou d’une autre un logiciel client puisse arriver à faire exécuter une commande par le logiciel
serveur, de type "rm -rf /"... Vous avez compris, ou il faut que je vous fasse un dessin ?
Cet exemple est malheureusement très représentatif
de la situation d’Internet actuellement. Et si des milliers de machines se font pirater tout les jours par le dernier virus-vers à la mode ("nimda",
"kournikova", etc...), c’est souvent parce que le serveur web qui a été touché était lancé avec les droits les plus élevés.
Heureusement il y a une solution. C’est de lancer le serveur avec les droits d’un utilisateur particulier, qui n’a pas accès à grand chose.

pour ce qui est des règle iptable dans l'exemple

[== Indéfini ==]
#!/bin/sh 

 

# Réinitialise les règles

sudo iptables -t filter -F 

sudo iptables -t filter -X 

 

# Bloque tout le trafic

sudo iptables -t filter -P INPUT DROP 

sudo iptables -t filter -P FORWARD DROP 

sudo iptables -t filter -P OUTPUT DROP

# ICMP (Ping)

sudo iptables -t filter -A INPUT -p icmp -j ACCEPT 

sudo iptables -t filter -A OUTPUT -p icmp -j ACCEPT 

 

# SSH

sudo iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT 

sudo iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT 



#ouverture port sortant
sudo iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT 
#ouverture port entrant
sudo iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT

pour ce qui est du SSH je ne compte pas indiquer le port 22

Je viens de retrouver le lien de ce court sur réseau et par feu http://olivieraj.free.fr/fr/linux/infor … 02-04.html.
Il est un peux vieux mais je le trouve bien rédiger pour mon niveau...

Dernière modification par discret (13-09-2016 14:39:40)

discret · 13-09-2016 14:36:31

à prendre en compte que j'ai bien sur compris que /etc/init.d/moniptable n'est et ne peut être que sur mon profil utilisateur root et qu'il ne peut y en avoir deux hmm

Suis je bête des fois...

Azgarech · 13-09-2016 14:45:13

Pour compléter avec l'usage de su , su - et sudo.

su $USER et su - $USER te permette d'exécuter des commandes/programmes/... comme étant $USER. Si $USER='' alors $USER=root.

La différence en su et su -

Comme vu au dessus ses deux commandes te permettent de prendre l'identité d'un $USER dans ton cas root.
Si tu omets le "-", tu ne charges pas les variables d'environnement du root.

Les variables d'environnement sont par exemple:

LANG=fr_FR.UTF-8
EDITOR=nano (beurk je pe lui préfère vim)
...

Prenons un petit exemple:

Un programme est disponible pour toto dans /opt/bin/superprogram, normalement les binaires se trouvent dans /bin ou /sbin pour root ( pas que mais restons simple).
Toto utilise bash par défaut. Il a deux choix possibles sans partir dans des "délires" de lancer le binaire avec uniquement la commande "superprogram" à la place du chemin absolue /opt/bin/superprogram ou relatif "./bin/superprogram" ( dans ce cas on se trouve dans /opt/).

Soit il édite son bashrc pour ajouter alias superprogram="/opt/bin/superprogram" , auquel cas si il essaye de lancer la commande depuis un shell sh ou zsh, celle-ci est inconnue.
Soit il ajoute un le path /opt/bin/ à son environnement, comme ça qu'il soit sous sh ou zsh, la commande superprogram sera reconnues.

Tu vas sûrement me demander "mais il veut en venir où lui ?". Bin tout simplement à la différence en su avec ou sans le "-".

Tu n'es pas l'utilisateur toto mais tu veux exécuter le binaire avec son identité., alors tu peux le faire de la manière suivante.

su toto
/opt/bin/superprogram

ou

su - toto
superprogram

par contre

su
superprogram

te donnera le retour commande introuvable. Car oui tu es bien toto mais non tu n'as pas le path /opt/bin de chargé mais ce de l'utilisateur qui a émis là commande su.
Dans le cas de su - toto tu prends uniquement les variable de l'utilisateur toto.

Il existe de nombreux cas pour l'usage de l'un ou de l'autre (build, compilation,...) .

Pour vérifier tu peux utiliser la commande printenv et la comparer après un su ou un su -

La commande sudo a une tout autre fonction,

Elle ne te fais pas "changer" de profil, elle te permet juste d'exécuter les commandes définies comme un superutilisateur (sudoers).
Les commandes autorisées se trouve dans le fichier /etc/sudoers.
Définitions des droits

foo ALL=(bar) NOPASSWD: /chemin/complet/program

permet à foo d'utiliser program en tant que bar sans qu'on ne lui demande son mot de passe.

Dans le cas des distrib où root ne dispose pas de mot de passe par défaut (comme Ubuntu), il faut faire la commande sudo su - pour passer root avec les variables. Pourquoi cela fonctionne et pas avec su ? .

Si tu fais su alors tu dis au système que tu veux passer sous un autre utilisateur. Le système te dis oui si tu connais le mot de passe. Ici il n'y a pas de mot de passe donc tu ne peux pas t'authentifier.

Sous condition que tu déclaré dans le fichiers sudoers avec les droits suivant : mon user ALL=(ALL) ALL ( qui t'autorise à lancer sous tout profil toutes les commandes).

Sudo te permet d'éxecuter la commande su comme un superutilisateur (pas root mais tout comme) et donc de passer root. Car le mot de passe utiliser pour s'authentifier est celui de ton user et non de root.

J'utilise sudo su - $USER dans les cas où je dois intervenir dans un répertoire qui est celui d'un utilisateur et que je ne veux pas changer l'appartenance des fichiers à root ( qui risquerait d'embêter mon utilisateur).

J'espère avoir éclairé la situation sans t'avoir perdu.

discret · 13-09-2016 18:28:21

Merci au contraire d'ètre perdu tu ma bien éclairé (bien sur il a plusieurs terme ou je vais avoir besoin d'aller cherche les définition !
Mais le principal est dit!

donc tous ce passe dans le fichier sudoers.d donc en ce qui me concerne ou la j'avais trouvé le fichier mintupdate il me semble que les lignes que tu m'indique plus haut je les ais vue sur ce fichier.

Ok je te remercie beaucoup smile

Je vais tester en souhaitant que j'arrive au résultat voulu!

hmm mince moi a chaque fois j'interviens avec nano j'ai jamais le reflex d'aller sur vim et oui je suis un noob... mdr

Dernière modification par discret (13-09-2016 18:31:18)

Azgarech · 13-09-2016 18:39:12

Un de mes formateurs m'avais présenté ce petit jeu pour apprendre à utiliser vim.

http://vim-adventures.com/

Nano est bien pour éditer rapidement. Vim est bourré de fonctions utiles, si tu regardes bien il est super volumineux pour un éditeur de texte smile

discret · 13-09-2016 18:57:50

Merci bien

penthium2 · 13-09-2016 20:09:06

il y a aussi : vimtutor !
après un réflexe a avoir sous tout système c'est d'installé le paquet vim complet, car généralement les distro installe vim en mode tiny.

pour se faire sous débian par exemple sous root :

aptitude upgrade && aptitude install vim

ou avec apt-get si tu préfère apt-get.

Cthulhu

penthium2 · 13-09-2016 23:16:57

je vote big_smile

discret · 14-09-2016 09:35:48

@MlleParrker c'est un acharnement justifié je suis toujours déterminé dans ce que je fait, même si a la fin des fois je me retrouve avec un résultat pour ainsi dire qui n'est pas good good hmm
Mais bon ensuite je prend toujours la meilleurs solution ...

@viperr
ok apparemment le paquet vim complet s'install donc je vais pouvoir commencer a penser a l'utiliser

Oups petit message d’erreur pour l'install pas le temps de m'en occuper maintenant !

Merci pour vos conseil

Dernière modification par discret (14-09-2016 09:39:07)

platon y · 18-05-2018 11:38:37

Pour ceux qui lirais le sujet,
il y a d'autres tables que filter, dans un premier temps, tel que la tables mangle qui est bien plus élastique, et aussi plus complexe à réaliser, cependant le man est toujours là, ensuite, je dirais que les différents modules aussi sont à explorer, tel que le suivi de connexion, ip-conntrack, voilà en espérant ne pas avoir réveillé votre parano en sachant que tout les ports d'entrées sorties sont ouverts. tux

#1 12-09-2016 11:52:27

iptables et netstat? Lancer le par feu avec un compte utilisateur

#2 12-09-2016 21:48:02

Re : iptables et netstat? Lancer le par feu avec un compte utilisateur

#3 12-09-2016 21:57:04

Re : iptables et netstat? Lancer le par feu avec un compte utilisateur

#4 12-09-2016 22:05:32

Re : iptables et netstat? Lancer le par feu avec un compte utilisateur

#5 13-09-2016 14:03:12

Re : iptables et netstat? Lancer le par feu avec un compte utilisateur

#6 13-09-2016 14:06:53

Re : iptables et netstat? Lancer le par feu avec un compte utilisateur

#7 13-09-2016 14:36:31

Re : iptables et netstat? Lancer le par feu avec un compte utilisateur

#8 13-09-2016 14:45:13

Re : iptables et netstat? Lancer le par feu avec un compte utilisateur

#9 13-09-2016 18:28:21

Re : iptables et netstat? Lancer le par feu avec un compte utilisateur

#10 13-09-2016 18:39:12

Re : iptables et netstat? Lancer le par feu avec un compte utilisateur

#11 13-09-2016 18:57:50

Re : iptables et netstat? Lancer le par feu avec un compte utilisateur

#12 13-09-2016 20:09:06

Re : iptables et netstat? Lancer le par feu avec un compte utilisateur

#13 13-09-2016 23:16:57

Re : iptables et netstat? Lancer le par feu avec un compte utilisateur

#14 14-09-2016 09:35:48

Re : iptables et netstat? Lancer le par feu avec un compte utilisateur

#15 18-05-2018 11:38:37

Re : iptables et netstat? Lancer le par feu avec un compte utilisateur

Pied de page des forums