Ubuntu-fr

sylvanux

interrogation sur la commande netstat et la sécurité RESOLU

Bonjour à tous

Voila j'ai découvert dans un magazine la commande

netstat -taupe

Apparemment cette commande, excusez moi si je ne suis pas hyper pointu sur ce que j'en ai compris, sert à afficher l'activité internet sur votre ordinateur.

Voila le résultat quand je tape cette commande :

netstat -taupe
(Tous les processus ne peuvent être identifiés, les infos sur les processus
non possédés ne seront pas affichées, vous devez être root pour les voir toutes.)
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       User       Inode       PID/Program name
tcp        0      0 *:netbios-ssn           *:*                     LISTEN      root       10827       -               
tcp        0      0 sylvain-EP31-DS3:domain *:*                     LISTEN      root       12144       -               
tcp        0      0 *:ssh                   *:*                     LISTEN      root       10799       -               
tcp        0      0 localhost:ipp           *:*                     LISTEN      root       12928       -               
tcp        0      0 *:smtp                  *:*                     LISTEN      root       10927       -               
tcp        0      0 *:gdomap                *:*                     LISTEN      root       11538       -               
tcp        0      0 *:microsoft-ds          *:*                     LISTEN      root       10826       -               
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN      root       10801       -               
tcp6       0      0 ip6-localhost:ipp       [::]:*                  LISTEN      root       12927       -               
tcp6       0      0 [::]:smtp               [::]:*                  LISTEN      root       10928       -               
tcp6       0      0 [::]:microsoft-ds       [::]:*                  LISTEN      root       10824       -               
tcp6       0      0 [::]:6881               [::]:*                  LISTEN      sylvain    17450       11118/ktorrent  
tcp6       1      0 ip6-localhost:43194     ip6-localhost:ipp       CLOSE_WAIT  root       14011       -               
udp        0      0 *:gdomap                *:*                                 root       11537       -               
udp        0      0 *:ipp                   *:*                                 root       12947       -               
udp        0      0 *:11210                 *:*                                 root       11882       -               
udp        0      0 *:58454                 *:*                                 avahi      8850        -               
udp        0      0 *:mdns                  *:*                                 avahi      8848        -               
udp        0      0 sylvain-EP31-DS3:domain *:*                                 root       12143       -               
udp        0      0 *:bootpc                *:*                                 root       11895       -               
udp        0      0 192.168.0.25:netbios-ns *:*                                 root       13524       -               
udp        0      0 192.168.0.13:netbios-ns *:*                                 root       13523       -               
udp        0      0 *:netbios-ns            *:*                                 root       13520       -               
udp        0      0 192.168.0.2:netbios-dgm *:*                                 root       13526       -               
udp        0      0 192.168.0.1:netbios-dgm *:*                                 root       13525       -               
udp        0      0 *:netbios-dgm           *:*                                 root       13521       -               
udp6       0      0 [::]:mdns               [::]:*                              avahi      8849        -               
udp6       0      0 [::]:59164              [::]:*                              avahi      8851        -               
udp6       0      0 [::]:53413              [::]:*                              root       11883       -  

Hors le problème c'est que je ne connais pas l'utilisateur avahi. D'après vous est-ce normal et si non que dois-je faire??

Dernière modification par sylvanux (Le 15/04/2016, à 13:13)

abelthorne

Re : interrogation sur la commande netstat et la sécurité RESOLU

Certains services sur Linux apparaissent avec un nom d'utilisateur, rien d'anormal à ça. En l'occurrence, il ne s'agit pas d'un compte utilisateur (comme tu peux le vérifier facilement) mais du service Avahi, l'implémentation de Zeroconf qui permet de simplifier la gestion du réseau.

sylvanux

Re : interrogation sur la commande netstat et la sécurité RESOLU

Ah ok merci pour ta réponse.
Quant à :

il ne s'agit pas d'un compte utilisateur (comme tu peux le vérifier facilement)

 

J'aimerai savoir comment vérifier qu'il ne s'agit pas d'un compte utilisateur, y'a t-il quelques choses qui me l'indique???

abelthorne

Re : interrogation sur la commande netstat et la sécurité RESOLU

Dans les paramètres système, tu as un soft de gestion des utilisateurs & groupes qui affichera les comptes utilisateurs. Si le nom que tu vois n'est pas dedans, c'est donc un service.

Dernière modification par abelthorne (Le 14/04/2016, à 16:07)

sylvanux

Re : interrogation sur la commande netstat et la sécurité RESOLU

En fait y'a t-il un moyen de voir, avec cette commande ou une autre, si quelqu'un d'extérieur au système cherche à se connecter???
Genre hacker ou autres

abelthorne

Re : interrogation sur la commande netstat et la sécurité RESOLU

Le problème, c'est que si quelqu'un d'extérieur s'introduit sur ton réseau, ce sera via un utilisateur existant (en ayant obtenu son mot de passe, par exemple) ou via un service qui a une faille. Si tu veux détecter des intrusions, le nom d'utilisateur ne va pas beaucoup t'aider, c'est plutôt les adresses distantes qu'il faut surveiller en relation avec le nom du programme ou service qui y accède et en te demandant "tiens ? est-ce que c'est normal que ce truc soit en train de communiquer avec cette adresse IP ?" Si c'est un soft que tu utilises qui est en train de télécharger des données ou d'échanger avec un serveur distant, c'est normal ; si c'en est un qui n'est pas censé être lancé, ça l'est moins.

Si tu héberges un serveur quelconque et que tu soupçonnes des (tentatives d')intrusions, c'est dans ses logs qu'il faut regarder.

En tout cas, il n'y a pas de commande miracle comme dans les séries télé qui t'avertira avec un gros message clignotant qu'un hacker du dimanche est en train d'essayer d'accéder à ton PC. La sécurité réseau, ça passe avant tout par de l'analyse des connexions et des logs pour détecter les traces d'activité suspecte.

sylvanux

Re : interrogation sur la commande netstat et la sécurité RESOLU

Bien merci pour avoir pris le temps de m'expliquer certaines choses toujours utile!!

MicP

Re : interrogation sur la commande netstat et la sécurité RESOLU

…J'aimerai savoir comment vérifier qu'il ne s'agit pas d'un compte utilisateur, y'a t-il quelques choses qui me l'indique???…

L'UID du compte root est 0
mais (pour debian et ubuntu) le premier compte utilisateur (autre que root) aura l'UID 1000 et les suivants auront un UID supérieur.

Les comptes utilisés par les services ont un UID inférieur à 1000

Dernière modification par MicP (Le 15/04/2016, à 14:28)

pires57

Re : interrogation sur la commande netstat et la sécurité RESOLU

+1 pour la réponse de MicP

---

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Sub0

Re : interrogation sur la commande netstat et la sécurité RESOLU

Et au passage, netstat est déprécié.

voir du côté de « ss »

---

Seule alternative au bépo acceptée = stylo/papier.

sylvanux

Re : interrogation sur la commande netstat et la sécurité RESOLU

Et au passage, netstat est déprécié.

voir du côté de « ss »

Tu pourrais développer???

Sub0

Re : interrogation sur la commande netstat et la sécurité RESOLU

man netstat

This program is obsolete. Replacement for netstat is ss. Replacement for netstat -r is ip route. Replacement for netstat -i is ip -s link. Replacement for netstat -g is ip maddr.

Discussion intéressante :
http://unix.stackexchange.com/questions … -netstat-s

Dernière modification par Sub0 (Le 19/04/2016, à 21:00)

---

Seule alternative au bépo acceptée = stylo/papier.

MicP

Re : interrogation sur la commande netstat et la sécurité RESOLU

…Tu pourrais développer??? …

En fait, je connaissais pas du tout la commande ss

Alors j'ai commencé par un :

man ss

et dès que j'aurai finit de le lire ça, j'essaierai quelques commandes ou/et j'irai entrer "netstat depreciate" puis "linux ss" dans un moteur de recherches pour lire quelque pages sur le web.

=======
Merci Sub0
et bien sûr Merci pires57

Dernière modification par MicP (Le 19/04/2016, à 21:42)

Sub0

Re : interrogation sur la commande netstat et la sécurité RESOLU

Je la trouve claire, et surtout rapide à taper !

--
Concernant la sécurité.
Non, ce n’est pas anodin d’avoir Avahi qui tourne sur la machine, surtout quand on ne sait pas ce que c’est et qu’on ne l’utilise pas.
C’est le genre de truc à fuir comme la peste sur un portable, et à désactiver s’il n'est pas nécessaire.

Je n'ai pas creusé comment il fonctionnait (ça a pas l’air évident à comprendre), il est peut-être lancé d’une manière sécurisée (chroot ? droits particulier pour l’utilisateur avahi) mais j’ai pas trop envie de laisser un tel programme sans avoir la main, alors que je m'efforce de comprendre ce qu’il se passe sur mon réseau et mes machines (d’ailleurs, ce genre de programme...pas super pédagogique et responsabilisant). mdms ça m'inspire pas trop par exemple...
La sécurité commence là.

Ça sert à établir des connexions automatiquement avec d'autres machines. Il est souvent lancé par firefox ou autre, quand un programme cherche une imprimante, ou par mpd et ses dérivés. 

Ne pouvant le désinstaller (dépendance), j’ai du le masquer dans systemd pour m’en débarasser.

@sylvanux :

ss -t

ne te donnera que les sockets tcp, donc les connexions, leurs adresses, ports, etc.

ss -l

te liste tous les sockets. Ça te permet de voir ce qui « écoute » et sur quels ports.

Après, ça s'affine.

Dernière modification par Sub0 (Le 19/04/2016, à 21:56)

---

Seule alternative au bépo acceptée = stylo/papier.