PCI DSS – Liste des ports ouverts sur votre serveur Linux Ubuntu

Pour répondre aux exigences PCI DSS du chapitre 2 et en particulier la 2.2.2, nous devons savoir quel sont les ports TCP/UDP ouverts sur nos serveurs. Je vous propose le billet suivant pour vos plateformes Linux. L’auditeur appréciera la concordance des résultats avec votre documentation.

Nous ouvrons un shell sur le serveur et nous tapons:

$netstat -lp

Le résultat est verbeux. Ici sur un serveur Web qui héberge des services SMTP, SSH et SNMP.

Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       PID/Program name
tcp        0      0 *:22222                 *:*                     LISTEN      962/sshd        
tcp        0      0 *:smtp                  *:*                     LISTEN      1539/master     
tcp        0      0 *:http                  *:*                     LISTEN      302/apache2         
udp        0      0 *:snmp                  *:*                                 1606/snmpd      
udp        0      0 *:39159                 *:*                                 1606/snmpd      
Sockets du domaine UNIX actives (seulement serveurs)
Proto RefCnt Flags       Type       State         I-Node   PID/Program name    Chemin
unix  2      [ ACC ]     STREAM     LISTENING     9943     1539/master         private/trace
unix  2      [ ACC ]     STREAM     LISTENING     10000    1539/master         private/bsmtp
unix  2      [ ACC ]     STREAM     LISTENING     10003    1539/master         private/scalemail-backend
unix  2      [ ACC ]     STREAM     LISTENING     10006    1539/master         private/mailman
unix  2      [ ACC ]     STREAM     LISTENING     9964     1539/master         public/showq
unix  2      [ ACC ]     STREAM     LISTENING     9934     1539/master         private/rewrite
unix  2      [ ACC ]     STREAM     LISTENING     9970     1539/master         private/retry
unix  2      [ ACC ]     SEQPACKET  LISTENING     7753     489/udevd           /run/udev/control
unix  2      [ ACC ]     STREAM     LISTENING     7122     1/init              @/com/ubuntu/upstart
unix  2      [ ACC ]     STREAM     LISTENING     9967     1539/master         private/error
unix  2      [ ACC ]     STREAM     LISTENING     9157     1106/syslog-ng      /var/lib/syslog-ng/syslog-ng.ctl
unix  2      [ ACC ]     STREAM     LISTENING     9091     1083/acpid          /var/run/acpid.socket
unix  2      [ ACC ]     STREAM     LISTENING     7817     517/dbus-daemon     /var/run/dbus/system_bus_socket
unix  2      [ ACC ]     STREAM     LISTENING     9923     1539/master         public/cleanup
unix  2      [ ACC ]     STREAM     LISTENING     9982     1539/master         private/lmtp
unix  2      [ ACC ]     STREAM     LISTENING     9973     1539/master         private/discard
unix  2      [ ACC ]     STREAM     LISTENING     9949     1539/master         public/flush
unix  2      [ ACC ]     STREAM     LISTENING     9937     1539/master         private/bounce
unix  2      [ ACC ]     STREAM     LISTENING     9976     1539/master         private/local

Une commande plus simple et plus facilement mémorisable…

$netstat -taupe
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       User       Inode       PID/Program name
tcp        0      0 *:22222                 *:*                     LISTEN      root       8901        962/sshd        
tcp        0      0 *:smtp                  *:*                     LISTEN      root       9916        1539/master     
tcp        0      0 *:http                  *:*                     LISTEN      root       10230       302/apache2     
tcp        0    400 www.monsite:22222 monreverseamoi:49333          ESTABLISHED root       1963850     10017/sshd:      
udp        0      0 *:snmp                  *:*                                 root       10188       1606/snmpd      
udp        0      0 *:39159                 *:*                                 root       10186       1606/snmpd

Personnellement, je stocke le résultat de la commande suivante dans un fichier Excel pour chaque serveur. Je fais ensuite un diff entre mon fichier Excel et les fichiers d’architectures réseaux qui contiennent généralement la liste des flux (bon d’accord pas tout le temps… 🙂 ).

$netstat -ntl
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale Adresse distante   Etat      
tcp        0      0 0.0.0.0:22222  0.0.0.0:*          LISTEN     
tcp        0      0 0.0.0.0:25     0.0.0.0:*          LISTEN     
tcp        0      0 0.0.0.0:80     0.0.0.0:*          LISTEN     

J’ai trouvé sur le net une commande aussi sympa à mémoriser

$ss -l

le résultat est bluffant.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.