Question peut-être sans réponse, mais qui ne tente rien n'a rien...
J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits
farfelus du net, l'admin de ce serveur a restreint l'accès au service
ssh sur ses ip perso ou de confiance via iptables. Je n'ai pas d'ip
fixe. Y a t-il un moyen, un soft qui permettrait ça ?
On a résolu le problème en me faisant sauter sur une autre machine, puis
en réalisant l'accès ssh sur le serveur.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Oui, comme le port knocking ça permet au moins d'éviter les scans de ports et une grande partie des attaques automatisées.
et fail2ban (que j'avais cité), qui permet de bannir une machine (i.e. qui se retrouve filtrée via iptables pendant un certain temps configurable) après un certain nombre (configurable) de connexions infructueuses. Donc sauf à avoir un mot de passe trivial, il est quasiment impossible de le trouver.
Je ne veux pas dénigrer fail2ban, mais pour moi son intérêt se limite à alléger les logs du démon SSH, parce que 10000 lignes de tentatives de connexion par jour, ça encombre. Si les mots de passe sont suffisamment forts, ou si carrément l'authentification par SSH est désactivée, les attaques robotisées par force brute et dictionnaire n'ont aucune chance de réussir. Il ne reste donc que l'exploitation d'une faille de sécurité du démon SSH contre laquelle fail2ban ne protègera pas, contrairement au DNS dynamique, port knocking et assimilés.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Vincent Lefevre a écrit :
Oui, comme le port knocking ça permet au moins d'éviter les scans de
ports et une grande partie des attaques automatisées.
et fail2ban (que j'avais cité), qui permet de bannir une machine
(i.e. qui se retrouve filtrée via iptables pendant un certain
temps configurable) après un certain nombre (configurable) de
connexions infructueuses. Donc sauf à avoir un mot de passe
trivial, il est quasiment impossible de le trouver.
Je ne veux pas dénigrer fail2ban, mais pour moi son intérêt se limite à
alléger les logs du démon SSH, parce que 10000 lignes de tentatives de
connexion par jour, ça encombre. Si les mots de passe sont suffisamment
forts, ou si carrément l'authentification par SSH est désactivée, les
attaques robotisées par force brute et dictionnaire n'ont aucune chance
de réussir. Il ne reste donc que l'exploitation d'une faille de sécurité
du démon SSH contre laquelle fail2ban ne protègera pas, contrairement au
DNS dynamique, port knocking et assimilés.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Oui, comme le port knocking ça permet au moins d'éviter les scans de ports et une grande partie des attaques automatisées.
et fail2ban (que j'avais cité), qui permet de bannir une machine (i.e. qui se retrouve filtrée via iptables pendant un certain temps configurable) après un certain nombre (configurable) de connexions infructueuses. Donc sauf à avoir un mot de passe trivial, il est quasiment impossible de le trouver.
Je ne veux pas dénigrer fail2ban, mais pour moi son intérêt se limite à alléger les logs du démon SSH, parce que 10000 lignes de tentatives de connexion par jour, ça encombre. Si les mots de passe sont suffisamment forts, ou si carrément l'authentification par SSH est désactivée, les attaques robotisées par force brute et dictionnaire n'ont aucune chance de réussir. Il ne reste donc que l'exploitation d'une faille de sécurité du démon SSH contre laquelle fail2ban ne protègera pas, contrairement au DNS dynamique, port knocking et assimilés.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Pascal Hambourg a écrit :
ou si carrément l'authentification par SSH est désactivée
^^^^^^^ Oups. Je voulais dire "par mot de passe", évidemment.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg a écrit :
ou si carrément l'authentification par SSH est désactivée
^^^^^^^
Oups. Je voulais dire "par mot de passe", évidemment.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
ou si carrément l'authentification par SSH est désactivée
^^^^^^^ Oups. Je voulais dire "par mot de passe", évidemment.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
