Question peut-être sans réponse, mais qui ne tente rien n'a rien...
J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits
farfelus du net, l'admin de ce serveur a restreint l'accès au service
ssh sur ses ip perso ou de confiance via iptables. Je n'ai pas d'ip
fixe. Y a t-il un moyen, un soft qui permettrait ça ?
On a résolu le problème en me faisant sauter sur une autre machine, puis
en réalisant l'accès ssh sur le serveur.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Bonjour, Question peut-être sans réponse, mais qui ne tente rien n'a rien...
J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits farfelus du net, l'admin de ce serveur a restreint l'accès au service ssh sur ses ip perso ou de confiance via iptables. Je n'ai pas d'ip fixe. Y a t-il un moyen, un soft qui permettrait ça ?
On a résolu le problème en me faisant sauter sur une autre machine, puis en réalisant l'accès ssh sur le serveur.
envoyé un mail au serveur en question avec une adresse et/ou un sujet spécifique et une petite règle dans le .procmail qui autorise l'ip en question (en paramètre dans le sujet/corp) devrait pouvoir faire l'affaire (p'tre nécessitera sudo)
jamais testé mais c'est peut être une idée à tester
Yoann
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jean-Michel OLTRA wrote:
Bonjour,
Question peut-être sans réponse, mais qui ne tente rien n'a rien...
J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits
farfelus du net, l'admin de ce serveur a restreint l'accès au service
ssh sur ses ip perso ou de confiance via iptables. Je n'ai pas d'ip
fixe. Y a t-il un moyen, un soft qui permettrait ça ?
On a résolu le problème en me faisant sauter sur une autre machine, puis
en réalisant l'accès ssh sur le serveur.
envoyé un mail au serveur en question avec une adresse et/ou un sujet spécifique
et une petite règle dans le .procmail qui autorise l'ip en question (en
paramètre dans le sujet/corp) devrait pouvoir faire l'affaire (p'tre nécessitera
sudo)
jamais testé mais c'est peut être une idée à tester
Yoann
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Bonjour, Question peut-être sans réponse, mais qui ne tente rien n'a rien...
J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits farfelus du net, l'admin de ce serveur a restreint l'accès au service ssh sur ses ip perso ou de confiance via iptables. Je n'ai pas d'ip fixe. Y a t-il un moyen, un soft qui permettrait ça ?
On a résolu le problème en me faisant sauter sur une autre machine, puis en réalisant l'accès ssh sur le serveur.
envoyé un mail au serveur en question avec une adresse et/ou un sujet spécifique et une petite règle dans le .procmail qui autorise l'ip en question (en paramètre dans le sujet/corp) devrait pouvoir faire l'affaire (p'tre nécessitera sudo)
jamais testé mais c'est peut être une idée à tester
Yoann
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Salut,
Jean-Michel OLTRA a écrit :
J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits farfelus du net, l'admin de ce serveur a restreint l'accès au service ssh sur ses ip perso ou de confiance via iptables.
Euh, SSH n'a pas déjà assez de moyens d'authentification (mot de passe, passphrase, certificat...) pour se passer de ce genre de mesure ? Il craint quoi l'admin, des failles dans SSH ?
Je n'ai pas d'ip fixe. Y a t-il un moyen, un soft qui permettrait ça ?
Qui permettrait quoi exactement ? De faire du "port knocking" ? Ça ne ferait que déplacer le problème, et pour que ce soit justifié il faudrait que le mécanisme d'authentification du port knocking soit au moins aussi solide que celui de SSH.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Salut,
Jean-Michel OLTRA a écrit :
J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits
farfelus du net, l'admin de ce serveur a restreint l'accès au service
ssh sur ses ip perso ou de confiance via iptables.
Euh, SSH n'a pas déjà assez de moyens d'authentification (mot de passe,
passphrase, certificat...) pour se passer de ce genre de mesure ? Il
craint quoi l'admin, des failles dans SSH ?
Je n'ai pas d'ip fixe. Y a t-il un moyen, un soft qui permettrait ça ?
Qui permettrait quoi exactement ? De faire du "port knocking" ?
Ça ne ferait que déplacer le problème, et pour que ce soit justifié il
faudrait que le mécanisme d'authentification du port knocking soit au
moins aussi solide que celui de SSH.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits farfelus du net, l'admin de ce serveur a restreint l'accès au service ssh sur ses ip perso ou de confiance via iptables.
Euh, SSH n'a pas déjà assez de moyens d'authentification (mot de passe, passphrase, certificat...) pour se passer de ce genre de mesure ? Il craint quoi l'admin, des failles dans SSH ?
Je n'ai pas d'ip fixe. Y a t-il un moyen, un soft qui permettrait ça ?
Qui permettrait quoi exactement ? De faire du "port knocking" ? Ça ne ferait que déplacer le problème, et pour que ce soit justifié il faudrait que le mécanisme d'authentification du port knocking soit au moins aussi solide que celui de SSH.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
François Boisson
Le Tue, 3 Oct 2006 21:58:30 +0200 Jean-Michel OLTRA a écrit:
Bonjour,
Question peut-être sans réponse, mais qui ne tente rien n'a rien...
J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits farfelus du net, l'admin de ce serveur a restreint l'accès au service ssh sur ses ip perso ou de confiance via iptables. Je n'ai pas d'ip fixe. Y a t-il un moyen, un soft qui permettrait ça ?
Il peut demander une authentification par clef non? Sinon, il ne fait que reporter le problème sur la machine où tu accèdes en ssh de n'importe où...
Le mieux est encore de faire écouter ssh sur un autre port si il est vraiment anxieux, ça lui évitera les petits malins.
François Boisson
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Tue, 3 Oct 2006 21:58:30 +0200
Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net> a écrit:
Bonjour,
Question peut-être sans réponse, mais qui ne tente rien n'a rien...
J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits
farfelus du net, l'admin de ce serveur a restreint l'accès au service
ssh sur ses ip perso ou de confiance via iptables. Je n'ai pas d'ip
fixe. Y a t-il un moyen, un soft qui permettrait ça ?
Il peut demander une authentification par clef non? Sinon, il ne fait
que reporter le problème sur la machine où tu accèdes en ssh de
n'importe où...
Le mieux est encore de faire écouter ssh sur un autre port si il est
vraiment anxieux, ça lui évitera les petits malins.
François Boisson
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Tue, 3 Oct 2006 21:58:30 +0200 Jean-Michel OLTRA a écrit:
Bonjour,
Question peut-être sans réponse, mais qui ne tente rien n'a rien...
J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits farfelus du net, l'admin de ce serveur a restreint l'accès au service ssh sur ses ip perso ou de confiance via iptables. Je n'ai pas d'ip fixe. Y a t-il un moyen, un soft qui permettrait ça ?
Il peut demander une authentification par clef non? Sinon, il ne fait que reporter le problème sur la machine où tu accèdes en ssh de n'importe où...
Le mieux est encore de faire écouter ssh sur un autre port si il est vraiment anxieux, ça lui évitera les petits malins.
François Boisson
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
yoann
> Salut,
Bonsoir
J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits farfelus du net, l'admin de ce serveur a restreint l'accès au service ssh sur ses ip perso ou de confiance via iptables.
Euh, SSH n'a pas déjà assez de moyens d'authentification (mot de passe, passphrase, certificat...) pour se passer de ce genre de mesure ? Il craint quoi l'admin, des failles dans SSH ?
je suis assez d'accord la dessus
Je n'ai pas d'ip fixe. Y a t-il un moyen, un soft qui permettrait ça ?
Qui permettrait quoi exactement ? De faire du "port knocking" ? Ça ne ferait que déplacer le problème, et pour que ce soit justifié il faudrait que le mécanisme d'authentification du port knocking soit au moins aussi solide que celui de SSH.
néanmoins, pour les vraiment paranoïaque, je m'étais amusé à réfléchir à ce genre de chose, même si j'ai jamais eu le courage/temps de le faire voilà un peu le déroulement
mail sujet spécifique et l'ip dans le corp -> signature gpg -> chiffrement gpg -> filtre sur [subject|from|rcpt to] avec procmail -> déchiffrement gpg -> vérification signature -> sudo iftables.... qui autorise l'adresse
après on peut imaginer des choses avec tempo, timeout, etc
à mon avis c'est réalisable mais un peu complexe alors que ssh offre quand même un niveau de sécurité très bon
Yoann
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
> Salut,
Bonsoir
J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits
farfelus du net, l'admin de ce serveur a restreint l'accès au service
ssh sur ses ip perso ou de confiance via iptables.
Euh, SSH n'a pas déjà assez de moyens d'authentification (mot de passe,
passphrase, certificat...) pour se passer de ce genre de mesure ? Il
craint quoi l'admin, des failles dans SSH ?
je suis assez d'accord la dessus
Je n'ai pas d'ip fixe. Y a t-il un moyen, un soft qui permettrait ça ?
Qui permettrait quoi exactement ? De faire du "port knocking" ?
Ça ne ferait que déplacer le problème, et pour que ce soit justifié il
faudrait que le mécanisme d'authentification du port knocking soit au
moins aussi solide que celui de SSH.
néanmoins, pour les vraiment paranoïaque, je m'étais amusé à réfléchir à ce
genre de chose, même si j'ai jamais eu le courage/temps de le faire voilà un peu
le déroulement
mail sujet spécifique et l'ip dans le corp
-> signature gpg
-> chiffrement gpg
-> filtre sur [subject|from|rcpt to] avec procmail
-> déchiffrement gpg
-> vérification signature
-> sudo iftables.... qui autorise l'adresse
après on peut imaginer des choses avec tempo, timeout, etc
à mon avis c'est réalisable mais un peu complexe alors que ssh offre quand même
un niveau de sécurité très bon
Yoann
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits farfelus du net, l'admin de ce serveur a restreint l'accès au service ssh sur ses ip perso ou de confiance via iptables.
Euh, SSH n'a pas déjà assez de moyens d'authentification (mot de passe, passphrase, certificat...) pour se passer de ce genre de mesure ? Il craint quoi l'admin, des failles dans SSH ?
je suis assez d'accord la dessus
Je n'ai pas d'ip fixe. Y a t-il un moyen, un soft qui permettrait ça ?
Qui permettrait quoi exactement ? De faire du "port knocking" ? Ça ne ferait que déplacer le problème, et pour que ce soit justifié il faudrait que le mécanisme d'authentification du port knocking soit au moins aussi solide que celui de SSH.
néanmoins, pour les vraiment paranoïaque, je m'étais amusé à réfléchir à ce genre de chose, même si j'ai jamais eu le courage/temps de le faire voilà un peu le déroulement
mail sujet spécifique et l'ip dans le corp -> signature gpg -> chiffrement gpg -> filtre sur [subject|from|rcpt to] avec procmail -> déchiffrement gpg -> vérification signature -> sudo iftables.... qui autorise l'adresse
après on peut imaginer des choses avec tempo, timeout, etc
à mon avis c'est réalisable mais un peu complexe alors que ssh offre quand même un niveau de sécurité très bon
Yoann
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jerome Moinet
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits farfelus du net, l'admin de ce serveur a restreint l'accès au service ssh sur ses ip perso ou de confiance via iptables. Je n'ai pas d'ip fixe. Y a t-il un moyen, un soft qui permettrait ça ?
tu prend un dyndns quelconque, l'admin fait un cron toutes les minutes avec dedans un `host ton_dyndns | sur le grep qui va bien` et un ajout de l'ip résultante dans les règles iptables (avec suppression de l'ancienne ip).
Donc : 1) bloquer complètement l'accès ssh dans iptables (déjà fait visiblement) 2) faire un fichier de conf avec les ip et dydns autorisées (/etc/ssh/ip.allowed par exemple) 3) faire un cron qui génère un fichier dans /var/cache/ssh avec les ips fixes venant du fic de conf + les ip résultantes d'un host des dydns 4) si il y a un diff avec le fichier .old sauvegardé dans /var/cache/ssh, vider iptables et remplacer par les ips du fichier résultant du cron (avec rotation du fichier vers le .old).
Sur le "pourquoi bloquer l'accès ssh ?", ça doit être juste de la parano. Et puis il y a eu par le passé quelques trous dans ssh. Et puis ssh n'est pas un soft qui s'adresse à tout internet (à la différence de apache, par exemple, ou pop, ou smtp), alors pourquoi l'autoriser à tout le monde ?
cdlt,
jerome -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits
farfelus du net, l'admin de ce serveur a restreint l'accès au service
ssh sur ses ip perso ou de confiance via iptables. Je n'ai pas d'ip
fixe. Y a t-il un moyen, un soft qui permettrait ça ?
tu prend un dyndns quelconque, l'admin fait un cron toutes les minutes
avec dedans un `host ton_dyndns | sur le grep qui va bien` et un ajout
de l'ip résultante dans les règles iptables (avec suppression de
l'ancienne ip).
Donc :
1) bloquer complètement l'accès ssh dans iptables (déjà fait visiblement)
2) faire un fichier de conf avec les ip et dydns autorisées
(/etc/ssh/ip.allowed par exemple)
3) faire un cron qui génère un fichier dans /var/cache/ssh avec les ips
fixes venant du fic de conf + les ip résultantes d'un host des dydns
4) si il y a un diff avec le fichier .old sauvegardé dans
/var/cache/ssh, vider iptables et remplacer par les ips du fichier
résultant du cron (avec rotation du fichier vers le .old).
Sur le "pourquoi bloquer l'accès ssh ?", ça doit être juste de la
parano. Et puis il y a eu par le passé quelques trous dans ssh. Et puis
ssh n'est pas un soft qui s'adresse à tout internet (à la différence de
apache, par exemple, ou pop, ou smtp), alors pourquoi l'autoriser à tout
le monde ?
cdlt,
jerome
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits farfelus du net, l'admin de ce serveur a restreint l'accès au service ssh sur ses ip perso ou de confiance via iptables. Je n'ai pas d'ip fixe. Y a t-il un moyen, un soft qui permettrait ça ?
tu prend un dyndns quelconque, l'admin fait un cron toutes les minutes avec dedans un `host ton_dyndns | sur le grep qui va bien` et un ajout de l'ip résultante dans les règles iptables (avec suppression de l'ancienne ip).
Donc : 1) bloquer complètement l'accès ssh dans iptables (déjà fait visiblement) 2) faire un fichier de conf avec les ip et dydns autorisées (/etc/ssh/ip.allowed par exemple) 3) faire un cron qui génère un fichier dans /var/cache/ssh avec les ips fixes venant du fic de conf + les ip résultantes d'un host des dydns 4) si il y a un diff avec le fichier .old sauvegardé dans /var/cache/ssh, vider iptables et remplacer par les ips du fichier résultant du cron (avec rotation du fichier vers le .old).
Sur le "pourquoi bloquer l'accès ssh ?", ça doit être juste de la parano. Et puis il y a eu par le passé quelques trous dans ssh. Et puis ssh n'est pas un soft qui s'adresse à tout internet (à la différence de apache, par exemple, ou pop, ou smtp), alors pourquoi l'autoriser à tout le monde ?
cdlt,
jerome -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Yves Rutschle
On Tue, Oct 03, 2006 at 10:57:47PM +0200, Pascal Hambourg wrote:
Il craint quoi l'admin, des failles dans SSH ?
Ça s'est déjà vu, au moins sur ssh1, avec accès root à la clé. Rechercher 'ssh exploit' sur Google...
Seul les paranoïaques survivront!
Y. -- qui utilise telnet sur l'internet
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Tue, Oct 03, 2006 at 10:57:47PM +0200, Pascal Hambourg
wrote:
Il craint quoi l'admin, des failles dans SSH ?
Ça s'est déjà vu, au moins sur ssh1, avec accès root à la
clé. Rechercher 'ssh exploit' sur Google...
Seul les paranoïaques survivront!
Y. -- qui utilise telnet sur l'internet
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Tue, Oct 03, 2006 at 10:57:47PM +0200, Pascal Hambourg wrote:
Il craint quoi l'admin, des failles dans SSH ?
Ça s'est déjà vu, au moins sur ssh1, avec accès root à la clé. Rechercher 'ssh exploit' sur Google...
Seul les paranoïaques survivront!
Y. -- qui utilise telnet sur l'internet
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jean-Michel OLTRA
Bonjour,
Le mardi 03 octobre 2006, Pascal Hambourg a écrit...
Euh, SSH n'a pas déjà assez de moyens d'authentification (mot de passe, passphrase, certificat...) pour se passer de ce genre de mesure ? Il craint quoi l'admin, des failles dans SSH ?
Je suppose qu'il craint qu'un script trouve un mot de passe sur un compte qui possède un accès ssh. Le compte root certainement.
Qui permettrait quoi exactement ? De faire du "port knocking" ? Ça ne ferait que déplacer le problème, et pour que ce soit justifié il faudrait que le mécanisme d'authentification du port knocking soit au moins aussi solide que celui de SSH.
Un truc comme ça. A partir de la possibilité donnée par yoann (envoi de mail + ip + timeout sur iptables) à laquelle j'avais pensé (mais je n'avais pas envisagé le chiffrement). Le seul truc c'est que si ça n'existe pas, il faut le coder.
La possibilité host + dyndns + iptables n'est pas mal non plus.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bonjour,
Le mardi 03 octobre 2006, Pascal Hambourg a écrit...
Euh, SSH n'a pas déjà assez de moyens d'authentification (mot de passe,
passphrase, certificat...) pour se passer de ce genre de mesure ? Il
craint quoi l'admin, des failles dans SSH ?
Je suppose qu'il craint qu'un script trouve un mot de passe sur un
compte qui possède un accès ssh. Le compte root certainement.
Qui permettrait quoi exactement ? De faire du "port knocking" ?
Ça ne ferait que déplacer le problème, et pour que ce soit justifié il
faudrait que le mécanisme d'authentification du port knocking soit au
moins aussi solide que celui de SSH.
Un truc comme ça. A partir de la possibilité donnée par yoann (envoi de
mail + ip + timeout sur iptables) à laquelle j'avais pensé (mais je
n'avais pas envisagé le chiffrement). Le seul truc c'est que si ça
n'existe pas, il faut le coder.
La possibilité host + dyndns + iptables n'est pas mal non plus.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le mardi 03 octobre 2006, Pascal Hambourg a écrit...
Euh, SSH n'a pas déjà assez de moyens d'authentification (mot de passe, passphrase, certificat...) pour se passer de ce genre de mesure ? Il craint quoi l'admin, des failles dans SSH ?
Je suppose qu'il craint qu'un script trouve un mot de passe sur un compte qui possède un accès ssh. Le compte root certainement.
Qui permettrait quoi exactement ? De faire du "port knocking" ? Ça ne ferait que déplacer le problème, et pour que ce soit justifié il faudrait que le mécanisme d'authentification du port knocking soit au moins aussi solide que celui de SSH.
Un truc comme ça. A partir de la possibilité donnée par yoann (envoi de mail + ip + timeout sur iptables) à laquelle j'avais pensé (mais je n'avais pas envisagé le chiffrement). Le seul truc c'est que si ça n'existe pas, il faut le coder.
La possibilité host + dyndns + iptables n'est pas mal non plus.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Vincent Lefevre
On 2006-10-03 23:13:46 +0200, François Boisson wrote:
Le mieux est encore de faire écouter ssh sur un autre port si il est vraiment anxieux, ça lui évitera les petits malins.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On 2006-10-03 23:13:46 +0200, François Boisson wrote:
Le mieux est encore de faire écouter ssh sur un autre port si il est
vraiment anxieux, ça lui évitera les petits malins.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Jean-Michel OLTRA a écrit :
Euh, SSH n'a pas déjà assez de moyens d'authentification (mot de passe, passphrase, certificat...) pour se passer de ce genre de mesure ? Il craint quoi l'admin, des failles dans SSH ?
Je suppose qu'il craint qu'un script trouve un mot de passe sur un compte qui possède un accès ssh. Le compte root certainement.
C'est pour ça que j'ai mentionné d'autres méthodes d'authentification que le mot de passe. Quand bien même, avec des mots de passe forts et pas du style "toto" ou "admin", on ne risque pas grand chose des attaques par dictionnaire ou force brute. Et on peut désactiver le login root par SSH.
Quant au failles de SSH, il y en a eu, et il y en aura encore. Mais combien d'exploits en 0-day ? Les mises à jour de sécurité sont là pour ça.
Qui permettrait quoi exactement ? De faire du "port knocking" ?
Un truc comme ça. A partir de la possibilité donnée par yoann (envoi de mail + ip + timeout sur iptables) à laquelle j'avais pensé (mais je n'avais pas envisagé le chiffrement). Le seul truc c'est que si ça n'existe pas, il faut le coder.
Il y a bien le paquetage knockd, mais il ne fait pas d'authentification, et est vulnérable au rejeu, sauf à utiliser des séquences à usage unique (mais j'ai peur que ça ne se prête pas bien à un usage par plusieurs utilisateurs).
La possibilité host + dyndns + iptables n'est pas mal non plus.
Oui, comme le port knocking ça permet au moins d'éviter les scans de ports et une grande partie des attaques automatisées.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jean-Michel OLTRA a écrit :
Euh, SSH n'a pas déjà assez de moyens d'authentification (mot de passe,
passphrase, certificat...) pour se passer de ce genre de mesure ? Il
craint quoi l'admin, des failles dans SSH ?
Je suppose qu'il craint qu'un script trouve un mot de passe sur un
compte qui possède un accès ssh. Le compte root certainement.
C'est pour ça que j'ai mentionné d'autres méthodes d'authentification
que le mot de passe. Quand bien même, avec des mots de passe forts et
pas du style "toto" ou "admin", on ne risque pas grand chose des
attaques par dictionnaire ou force brute. Et on peut désactiver le login
root par SSH.
Quant au failles de SSH, il y en a eu, et il y en aura encore. Mais
combien d'exploits en 0-day ? Les mises à jour de sécurité sont là pour ça.
Qui permettrait quoi exactement ? De faire du "port knocking" ?
Un truc comme ça. A partir de la possibilité donnée par yoann (envoi de
mail + ip + timeout sur iptables) à laquelle j'avais pensé (mais je
n'avais pas envisagé le chiffrement). Le seul truc c'est que si ça
n'existe pas, il faut le coder.
Il y a bien le paquetage knockd, mais il ne fait pas d'authentification,
et est vulnérable au rejeu, sauf à utiliser des séquences à usage unique
(mais j'ai peur que ça ne se prête pas bien à un usage par plusieurs
utilisateurs).
La possibilité host + dyndns + iptables n'est pas mal non plus.
Oui, comme le port knocking ça permet au moins d'éviter les scans de
ports et une grande partie des attaques automatisées.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Euh, SSH n'a pas déjà assez de moyens d'authentification (mot de passe, passphrase, certificat...) pour se passer de ce genre de mesure ? Il craint quoi l'admin, des failles dans SSH ?
Je suppose qu'il craint qu'un script trouve un mot de passe sur un compte qui possède un accès ssh. Le compte root certainement.
C'est pour ça que j'ai mentionné d'autres méthodes d'authentification que le mot de passe. Quand bien même, avec des mots de passe forts et pas du style "toto" ou "admin", on ne risque pas grand chose des attaques par dictionnaire ou force brute. Et on peut désactiver le login root par SSH.
Quant au failles de SSH, il y en a eu, et il y en aura encore. Mais combien d'exploits en 0-day ? Les mises à jour de sécurité sont là pour ça.
Qui permettrait quoi exactement ? De faire du "port knocking" ?
Un truc comme ça. A partir de la possibilité donnée par yoann (envoi de mail + ip + timeout sur iptables) à laquelle j'avais pensé (mais je n'avais pas envisagé le chiffrement). Le seul truc c'est que si ça n'existe pas, il faut le coder.
Il y a bien le paquetage knockd, mais il ne fait pas d'authentification, et est vulnérable au rejeu, sauf à utiliser des séquences à usage unique (mais j'ai peur que ça ne se prête pas bien à un usage par plusieurs utilisateurs).
La possibilité host + dyndns + iptables n'est pas mal non plus.
Oui, comme le port knocking ça permet au moins d'éviter les scans de ports et une grande partie des attaques automatisées.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Vincent Lefevre
On 2006-10-04 10:28:54 +0200, Pascal Hambourg wrote:
>La possibilité host + dyndns + iptables n'est pas mal non plus.
Oui, comme le port knocking ça permet au moins d'éviter les scans de ports et une grande partie des attaques automatisées.
et fail2ban (que j'avais cité), qui permet de bannir une machine (i.e. qui se retrouve filtrée via iptables pendant un certain temps configurable) après un certain nombre (configurable) de connexions infructueuses. Donc sauf à avoir un mot de passe trivial, il est quasiment impossible de le trouver.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On 2006-10-04 10:28:54 +0200, Pascal Hambourg wrote:
>La possibilité host + dyndns + iptables n'est pas mal non plus.
Oui, comme le port knocking ça permet au moins d'éviter les scans de
ports et une grande partie des attaques automatisées.
et fail2ban (que j'avais cité), qui permet de bannir une machine
(i.e. qui se retrouve filtrée via iptables pendant un certain
temps configurable) après un certain nombre (configurable) de
connexions infructueuses. Donc sauf à avoir un mot de passe
trivial, il est quasiment impossible de le trouver.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On 2006-10-04 10:28:54 +0200, Pascal Hambourg wrote:
>La possibilité host + dyndns + iptables n'est pas mal non plus.
Oui, comme le port knocking ça permet au moins d'éviter les scans de ports et une grande partie des attaques automatisées.
et fail2ban (que j'avais cité), qui permet de bannir une machine (i.e. qui se retrouve filtrée via iptables pendant un certain temps configurable) après un certain nombre (configurable) de connexions infructueuses. Donc sauf à avoir un mot de passe trivial, il est quasiment impossible de le trouver.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
