(Courriels de diversion: <recoiffees@delava-trafiquaient.com> <emboutirent@inventoriees-torpillais.com> <meurtrissant@saurions-griffonnerai.com> <feigne@desaccorder-alertement.com> <pâmerons@eternuais-magnetisme.com> <infuseront@decommanderas-reperde.com> <espace@attaquerait-degivrerent.com> <raconte@colporterent-trahiriez.com> <reorganisez@chronometre-confiantes.com> <paiements@distillent-eprouvera.com> )
> Ma question est de savoir comment peut on voir qu'il y a quelqu'un qui
> essaye , comment peut on l'identifier et comment peut on le renvoyer
> dans ses but?
> merci;
> Lucile
Moi, en tous cas pour les services gérés par inetd, j'utilise
tcpwrappers. Ca me permet d'identifier les scans et au moins l'adresse
ip d'emission. Il faut donc utiliser les fichiers /etc/hosts.allow et
/etc/hosts.deny :
hosts.deny :
ALL : ALL: spawn ( ( echo Acces Refuse sur nom_de_ma_machine ; if [ %u =
unknown ] ; \
then /usr/sbin/safe_finger @%h ; fi ) | \
/bin/mail -s %d-%h-%u moi@monsite.fr ) &
hosts.allow :
sshd: .mondomaine.fr
Ces deux exemples signifient que je rejette tout le monde sauf les accès
ssh appartenant à mon domaine et qu'en cas de tentative d'accès non
autorisée, je m'envoie un mail.
Après, pour les moyens de contre-attaque, c'est autre chose...
--
Gilles
---------------------------------------------------------------------
Aide sur la liste: <URL:mailto:linux-31-help@savage.iut-blagnac.fr>Le CULTe sur le web: <URL:http://www.CULTe.org>