Pour répondre aux exigences PCI DSS du chapitre 2 et en particulier la 2.2.2, nous devons savoir quel sont les ports TCP/UDP ouverts sur nos serveurs. Je vous propose le billet suivant pour vos plateformes Linux. L’auditeur appréciera la concordance des résultats avec votre documentation.
Nous ouvrons un shell sur le serveur et nous tapons:
$netstat -lp
Le résultat est verbeux. Ici sur un serveur Web qui héberge des services SMTP, SSH et SNMP.
Connexions Internet actives (seulement serveurs) Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name tcp 0 0 *:22222 *:* LISTEN 962/sshd tcp 0 0 *:smtp *:* LISTEN 1539/master tcp 0 0 *:http *:* LISTEN 302/apache2 udp 0 0 *:snmp *:* 1606/snmpd udp 0 0 *:39159 *:* 1606/snmpd Sockets du domaine UNIX actives (seulement serveurs) Proto RefCnt Flags Type State I-Node PID/Program name Chemin unix 2 [ ACC ] STREAM LISTENING 9943 1539/master private/trace unix 2 [ ACC ] STREAM LISTENING 10000 1539/master private/bsmtp unix 2 [ ACC ] STREAM LISTENING 10003 1539/master private/scalemail-backend unix 2 [ ACC ] STREAM LISTENING 10006 1539/master private/mailman unix 2 [ ACC ] STREAM LISTENING 9964 1539/master public/showq unix 2 [ ACC ] STREAM LISTENING 9934 1539/master private/rewrite unix 2 [ ACC ] STREAM LISTENING 9970 1539/master private/retry unix 2 [ ACC ] SEQPACKET LISTENING 7753 489/udevd /run/udev/control unix 2 [ ACC ] STREAM LISTENING 7122 1/init @/com/ubuntu/upstart unix 2 [ ACC ] STREAM LISTENING 9967 1539/master private/error unix 2 [ ACC ] STREAM LISTENING 9157 1106/syslog-ng /var/lib/syslog-ng/syslog-ng.ctl unix 2 [ ACC ] STREAM LISTENING 9091 1083/acpid /var/run/acpid.socket unix 2 [ ACC ] STREAM LISTENING 7817 517/dbus-daemon /var/run/dbus/system_bus_socket unix 2 [ ACC ] STREAM LISTENING 9923 1539/master public/cleanup unix 2 [ ACC ] STREAM LISTENING 9982 1539/master private/lmtp unix 2 [ ACC ] STREAM LISTENING 9973 1539/master private/discard unix 2 [ ACC ] STREAM LISTENING 9949 1539/master public/flush unix 2 [ ACC ] STREAM LISTENING 9937 1539/master private/bounce unix 2 [ ACC ] STREAM LISTENING 9976 1539/master private/local
Une commande plus simple et plus facilement mémorisable…
$netstat -taupe
Connexions Internet actives (serveurs et établies) Proto Recv-Q Send-Q Adresse locale Adresse distante Etat User Inode PID/Program name tcp 0 0 *:22222 *:* LISTEN root 8901 962/sshd tcp 0 0 *:smtp *:* LISTEN root 9916 1539/master tcp 0 0 *:http *:* LISTEN root 10230 302/apache2 tcp 0 400 www.monsite:22222 monreverseamoi:49333 ESTABLISHED root 1963850 10017/sshd: udp 0 0 *:snmp *:* root 10188 1606/snmpd udp 0 0 *:39159 *:* root 10186 1606/snmpd
Personnellement, je stocke le résultat de la commande suivante dans un fichier Excel pour chaque serveur. Je fais ensuite un diff entre mon fichier Excel et les fichiers d’architectures réseaux qui contiennent généralement la liste des flux (bon d’accord pas tout le temps… 🙂 ).
$netstat -ntl
Connexions Internet actives (seulement serveurs) Proto Recv-Q Send-Q Adresse locale Adresse distante Etat tcp 0 0 0.0.0.0:22222 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
J’ai trouvé sur le net une commande aussi sympa à mémoriser
$ss -l
le résultat est bluffant.
12 comments for “PCI DSS – Liste des ports ouverts sur votre serveur Linux Ubuntu”