Je voudrais pouvoir acc=E9der =E0 ma machine en ssh lorsque je suis =E0
l'ext=E9rieur.
Or =E0 chaque fois que j'essaye, j'ai le message "connection refused" avec
Connectbot sur mon t=E9l=E9phone Andro=EFd ou "connection timed out" lorsque
je le fais de mon serveur.
Voici ma config r=E9seau :
J'ai une connection internet bidirectionnelle par satellite (Sat2Way). Cett=
e connection
arrive dans mon routeur Linksys, que j'ai bien s=FBr configur=E9 pour qu'il
route son port 22 sur le port 22 de ma machine. Le pare-feu sur ce
routeur est d=E9sactiv=E9.
J'ai une adresse DynDNS qui pointe sur mon ip dynamique et c'est avec
celle-ci que j'essaye de me connecter. De toutes fa=E7ons quand j'essaye
avec l'ip actuelle, le r=E9sultat est le m=EAme.
Petite pr=E9cision dont j'ignore si elle est utile : le signal satellite
redescend sur Turin, aussi mon ip est-elle italienne.
# Package generated configuration file
# See the sshd(8) manpage for details
# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthenticati=
on
#IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
# Change to no to disable tunnelled clear text passwords
# PasswordAuthentication yes
# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
ClientAliveInterval 60
#MaxStartups 10:30:60
Banner /etc/issue.linuxlogo
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100305100049.GA23278@debianfixe
Le 05-03-2010, à 11:00:49 +0100, Franck Delage () a écrit :
Salut à la liste.
Salut,
Je ne sais pas pour ton problème, mais
Mon sshd_config :
PermitRootLogin yes
ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as besoin.
¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas trop lesquelles.
s.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le 05-03-2010, à 11:00:49 +0100, Franck Delage (debian@web82.net) a écrit :
Salut à la liste.
Salut,
Je ne sais pas pour ton problème, mais
Mon sshd_config :
PermitRootLogin yes
ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as
besoin.
¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas
trop lesquelles.
s.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100305121239.GA32286@localdomain
Le 05-03-2010, à 11:00:49 +0100, Franck Delage () a écrit :
Salut à la liste.
Salut,
Je ne sais pas pour ton problème, mais
Mon sshd_config :
PermitRootLogin yes
ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as besoin.
¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas trop lesquelles.
s.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Jean-Yves F. Barbier
steve a écrit :
Je ne sais pas pour ton problème, mais
Mon sshd_config : PermitRootLogin yes
ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as besoin.
Awai, mais si un type possède des connaissances et les utilise pour cracker SSH ou faire une MiM dans les règles, ne crois-tu pas qu'il aura *aussi* les connaissances voulues pour l'aider à cracker le compte root...
¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas trop lesquelles.
faire un backup complet du système à distance par exemple.
-- Q: What is printed on the bottom of beer bottles in Minnesota? A: Open other end.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
steve a écrit :
Je ne sais pas pour ton problème, mais
Mon sshd_config :
PermitRootLogin yes
ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as
besoin.
Awai, mais si un type possède des connaissances et les utilise pour cracker
SSH ou faire une MiM dans les règles, ne crois-tu pas qu'il aura *aussi*
les connaissances voulues pour l'aider à cracker le compte root...
¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas
trop lesquelles.
faire un backup complet du système à distance par exemple.
--
Q: What is printed on the bottom of beer bottles in Minnesota?
A: Open other end.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4B9118F0.1080708@gmail.com
ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as besoin.
Awai, mais si un type possède des connaissances et les utilise pour cracker SSH ou faire une MiM dans les règles, ne crois-tu pas qu'il aura *aussi* les connaissances voulues pour l'aider à cracker le compte root...
¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas trop lesquelles.
faire un backup complet du système à distance par exemple.
-- Q: What is printed on the bottom of beer bottles in Minnesota? A: Open other end.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
steve
Le 05-03-2010, à 15:45:04 +0100, Jean-Yves F. Barbier () a écrit :
steve a écrit :
> Je ne sais pas pour ton problème, mais >> Mon sshd_config : >> PermitRootLogin yes > > ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as > besoin.
Awai, mais si un type possède des connaissances et les utilise pour cracker SSH ou faire une MiM dans les règles, ne crois-tu pas qu'il aura *aussi* les connaissances voulues pour l'aider à cracker le compte root...
Vi bien sûr... mais autant ne pas l'aider et interdire un ssh en root. Mais je pensais plus à toutes ces cochonneries qui traînent sur le net et dont on voit les traces dans le auth.log, dont le dernier date de pas si longtemps :
Mar 5 12:13:58 localhost sshd[25032]: Failed password for root from X.X.X.X port 48428 ssh2
> ¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas > trop lesquelles.
faire un backup complet du système à distance par exemple.
Dans ce cas ne serait-il pas mieux de définir un utilisateur dédié et de lui donner ponctuellement ces droits via sudo ? Cela limiterait les risques non ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le 05-03-2010, à 15:45:04 +0100, Jean-Yves F. Barbier (12ukwn@gmail.com) a écrit :
steve a écrit :
> Je ne sais pas pour ton problème, mais
>> Mon sshd_config :
>> PermitRootLogin yes
>
> ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as
> besoin.
Awai, mais si un type possède des connaissances et les utilise pour cracker
SSH ou faire une MiM dans les règles, ne crois-tu pas qu'il aura *aussi*
les connaissances voulues pour l'aider à cracker le compte root...
Vi bien sûr... mais autant ne pas l'aider et interdire un ssh en root.
Mais je pensais plus à toutes ces cochonneries qui traînent sur le net
et dont on voit les traces dans le auth.log, dont le dernier date de pas
si longtemps :
Mar 5 12:13:58 localhost sshd[25032]: Failed password for root from
X.X.X.X port 48428 ssh2
> ¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas
> trop lesquelles.
faire un backup complet du système à distance par exemple.
Dans ce cas ne serait-il pas mieux de définir un utilisateur dédié et de
lui donner ponctuellement ces droits via sudo ? Cela limiterait les
risques non ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100305145928.GA21628@localdomain
Le 05-03-2010, à 15:45:04 +0100, Jean-Yves F. Barbier () a écrit :
steve a écrit :
> Je ne sais pas pour ton problème, mais >> Mon sshd_config : >> PermitRootLogin yes > > ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as > besoin.
Awai, mais si un type possède des connaissances et les utilise pour cracker SSH ou faire une MiM dans les règles, ne crois-tu pas qu'il aura *aussi* les connaissances voulues pour l'aider à cracker le compte root...
Vi bien sûr... mais autant ne pas l'aider et interdire un ssh en root. Mais je pensais plus à toutes ces cochonneries qui traînent sur le net et dont on voit les traces dans le auth.log, dont le dernier date de pas si longtemps :
Mar 5 12:13:58 localhost sshd[25032]: Failed password for root from X.X.X.X port 48428 ssh2
> ¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas > trop lesquelles.
faire un backup complet du système à distance par exemple.
Dans ce cas ne serait-il pas mieux de définir un utilisateur dédié et de lui donner ponctuellement ces droits via sudo ? Cela limiterait les risques non ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Franck Delage a écrit :
Salut à la liste.
Je voudrais pouvoir accéder à ma machine en ssh lorsque je suis à l'extérieur.
Or à chaque fois que j'essaye, j'ai le message "connection refused" avec Connectbot sur mon téléphone Androïd ou "connection timed out" lorsque je le fais de mon serveur.
Avant de compliquer les choses (cell-umts-fiber-sat), essaye d'abord à partir d'une machine normale connectée par un ADSL normal. ...
J'ai une adresse DynDNS qui pointe sur mon ip dynamique et c'est avec celle-ci que j'essaye de me connecter. De toutes façons quand j'essaye avec l'ip actuelle, le résultat est le même.
Petite précision dont j'ignore si elle est utile : le signal satellite redescend sur Turin, aussi mon ip est-elle italienne.
Ha bah ceci explique cela...... (niark niark)
Merci beaucoup de votre aide, je sèche !
appelle-nous quand tu seras sec, crapaud, y'a une bouteille de schnaps qui t'attend:)
Je suis sous Lenny/Squeeze.
Ma config Iptables est des plus simples :
et sans aucune sécurité
... pas trop normal que cette ligne soit restée commentée: ce fichier contient les clés permettant, une fois enregistrées, de se connecter sans avoir à rentrer de mot de passe.
#AuthorizedKeysFile %h/.ssh/authorized_keys
Beaucoup d'ISP font du filtrage, à savoir si c'est vraiment "pour protéger", ou juste pour faire chier le client... Par exemple, il-y-a 2 ans, il m'a été impossible de faire passer un OpenVPN (port 1194) sur une livebox pro (bloqué, et évidemment ft voulait à tout prix placer son option pro-vpn, à la bagatelle de €20HT/mois), il a fallu le déplacer sur le 443 (et déblocage instantané!) D'après ce que j'ai pu observer, le port 22 est presque aussi souvent bloqué que le 25.
Si une telle manip ne marche pas, tu devras demander qq explications techniques à ton ISP: la plupart passent à travers un réseau privé qui filtre/jette bcp de choses avant d'arriver chez toi, histoire de te vendre des Sces connexes (y'en a même qui te fournissent une adresse IP externe privée, comme ça aucune échappatoire.)
-- There is a multi-legged creature crawling on your shoulder. -- Spock, "A Taste of Armageddon", stardate 3193.9
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Franck Delage a écrit :
Salut à la liste.
Je voudrais pouvoir accéder à ma machine en ssh lorsque je suis à
l'extérieur.
Or à chaque fois que j'essaye, j'ai le message "connection refused" avec
Connectbot sur mon téléphone Androïd ou "connection timed out" lorsque
je le fais de mon serveur.
Avant de compliquer les choses (cell-umts-fiber-sat), essaye d'abord à partir
d'une machine normale connectée par un ADSL normal.
...
J'ai une adresse DynDNS qui pointe sur mon ip dynamique et c'est avec
celle-ci que j'essaye de me connecter. De toutes façons quand j'essaye
avec l'ip actuelle, le résultat est le même.
Petite précision dont j'ignore si elle est utile : le signal satellite
redescend sur Turin, aussi mon ip est-elle italienne.
Ha bah ceci explique cela...... (niark niark)
Merci beaucoup de votre aide, je sèche !
appelle-nous quand tu seras sec, crapaud, y'a une bouteille de schnaps qui t'attend:)
Je suis sous Lenny/Squeeze.
Ma config Iptables est des plus simples :
et sans aucune sécurité
...
pas trop normal que cette ligne soit restée commentée: ce fichier contient
les clés permettant, une fois enregistrées, de se connecter sans avoir à
rentrer de mot de passe.
#AuthorizedKeysFile %h/.ssh/authorized_keys
Beaucoup d'ISP font du filtrage, à savoir si c'est vraiment "pour protéger",
ou juste pour faire chier le client...
Par exemple, il-y-a 2 ans, il m'a été impossible de faire passer un OpenVPN
(port 1194) sur une livebox pro (bloqué, et évidemment ft voulait à tout prix
placer son option pro-vpn, à la bagatelle de €20HT/mois), il a fallu le
déplacer sur le 443 (et déblocage instantané!)
D'après ce que j'ai pu observer, le port 22 est presque aussi souvent bloqué
que le 25.
Si une telle manip ne marche pas, tu devras demander qq explications techniques
à ton ISP: la plupart passent à travers un réseau privé qui filtre/jette
bcp de choses avant d'arriver chez toi, histoire de te vendre des Sces connexes
(y'en a même qui te fournissent une adresse IP externe privée, comme ça aucune
échappatoire.)
--
There is a multi-legged creature crawling on your shoulder.
-- Spock, "A Taste of Armageddon", stardate 3193.9
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4B911E73.5040300@gmail.com
Je voudrais pouvoir accéder à ma machine en ssh lorsque je suis à l'extérieur.
Or à chaque fois que j'essaye, j'ai le message "connection refused" avec Connectbot sur mon téléphone Androïd ou "connection timed out" lorsque je le fais de mon serveur.
Avant de compliquer les choses (cell-umts-fiber-sat), essaye d'abord à partir d'une machine normale connectée par un ADSL normal. ...
J'ai une adresse DynDNS qui pointe sur mon ip dynamique et c'est avec celle-ci que j'essaye de me connecter. De toutes façons quand j'essaye avec l'ip actuelle, le résultat est le même.
Petite précision dont j'ignore si elle est utile : le signal satellite redescend sur Turin, aussi mon ip est-elle italienne.
Ha bah ceci explique cela...... (niark niark)
Merci beaucoup de votre aide, je sèche !
appelle-nous quand tu seras sec, crapaud, y'a une bouteille de schnaps qui t'attend:)
Je suis sous Lenny/Squeeze.
Ma config Iptables est des plus simples :
et sans aucune sécurité
... pas trop normal que cette ligne soit restée commentée: ce fichier contient les clés permettant, une fois enregistrées, de se connecter sans avoir à rentrer de mot de passe.
#AuthorizedKeysFile %h/.ssh/authorized_keys
Beaucoup d'ISP font du filtrage, à savoir si c'est vraiment "pour protéger", ou juste pour faire chier le client... Par exemple, il-y-a 2 ans, il m'a été impossible de faire passer un OpenVPN (port 1194) sur une livebox pro (bloqué, et évidemment ft voulait à tout prix placer son option pro-vpn, à la bagatelle de €20HT/mois), il a fallu le déplacer sur le 443 (et déblocage instantané!) D'après ce que j'ai pu observer, le port 22 est presque aussi souvent bloqué que le 25.
Si une telle manip ne marche pas, tu devras demander qq explications techniques à ton ISP: la plupart passent à travers un réseau privé qui filtre/jette bcp de choses avant d'arriver chez toi, histoire de te vendre des Sces connexes (y'en a même qui te fournissent une adresse IP externe privée, comme ça aucune échappatoire.)
-- There is a multi-legged creature crawling on your shoulder. -- Spock, "A Taste of Armageddon", stardate 3193.9
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Thierry Chatelet
On Friday 05 March 2010 15:45:04 Jean-Yves F. Barbier wrote:
Awai, mais si un type possède des connaissances et les utilise pour cracker SSH ou faire une MiM dans les règles, ne crois-tu pas qu'il aura *au ssi* les connaissances voulues pour l'aider à cracker le compte root...
fail2ban peut limiter le nombre de tentatives. Thierry
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
On Friday 05 March 2010 15:45:04 Jean-Yves F. Barbier wrote:
Awai, mais si un type possède des connaissances et les utilise pour cracker
SSH ou faire une MiM dans les règles, ne crois-tu pas qu'il aura *au ssi*
les connaissances voulues pour l'aider à cracker le compte root...
fail2ban peut limiter le nombre de tentatives.
Thierry
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/201003051601.12993.tchatelet@free.fr
Awai, mais si un type possède des connaissances et les utilise pour cracker SSH ou faire une MiM dans les règles, ne crois-tu pas qu'il aura *au ssi* les connaissances voulues pour l'aider à cracker le compte root...
fail2ban peut limiter le nombre de tentatives. Thierry
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Pascal Hambourg
Franck Delage a écrit :
Je voudrais pouvoir accéder à ma machine en ssh lorsque je suis à l'extérieur.
Or à chaque fois que j'essaye, j'ai le message "connection refused" avec Connectbot sur mon téléphone Androïd
Connecté comment ?
ou "connection timed out" lorsque je le fais de mon serveur.
Quel serveur ?
Voici ma config réseau :
J'ai une connection internet bidirectionnelle par satellite (Sat2Way). Cette connection arrive dans mon routeur Linksys, que j'ai bien sûr configuré pour qu'il route son port 22 sur le port 22 de ma machine. Le pare-feu sur ce routeur est désactivé.
Vérifications de base : - la machine a accès à internet via le routeur ? - le démon SSH est lancé est accessible depuis le réseau local ? - pas de pare-feu sur la machine ? - le FAI ne bloque pas de ports ?
Si tout cela est bon, faire un traceroute TCP (par exemple avec tcptraceroute) sur le port 22 pour voir où ça bloque, et si possible sniffer le trafic sur la machine pour voir si quelque chose arrive.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Franck Delage a écrit :
Je voudrais pouvoir accéder à ma machine en ssh lorsque je suis à
l'extérieur.
Or à chaque fois que j'essaye, j'ai le message "connection refused" avec
Connectbot sur mon téléphone Androïd
Connecté comment ?
ou "connection timed out" lorsque je le fais de mon serveur.
Quel serveur ?
Voici ma config réseau :
J'ai une connection internet bidirectionnelle par satellite (Sat2Way). Cette connection
arrive dans mon routeur Linksys, que j'ai bien sûr configuré pour qu'il
route son port 22 sur le port 22 de ma machine. Le pare-feu sur ce
routeur est désactivé.
Vérifications de base :
- la machine a accès à internet via le routeur ?
- le démon SSH est lancé est accessible depuis le réseau local ?
- pas de pare-feu sur la machine ?
- le FAI ne bloque pas de ports ?
Si tout cela est bon, faire un traceroute TCP (par exemple avec
tcptraceroute) sur le port 22 pour voir où ça bloque, et si possible
sniffer le trafic sur la machine pour voir si quelque chose arrive.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4B911F44.7090607@plouf.fr.eu.org
Je voudrais pouvoir accéder à ma machine en ssh lorsque je suis à l'extérieur.
Or à chaque fois que j'essaye, j'ai le message "connection refused" avec Connectbot sur mon téléphone Androïd
Connecté comment ?
ou "connection timed out" lorsque je le fais de mon serveur.
Quel serveur ?
Voici ma config réseau :
J'ai une connection internet bidirectionnelle par satellite (Sat2Way). Cette connection arrive dans mon routeur Linksys, que j'ai bien sûr configuré pour qu'il route son port 22 sur le port 22 de ma machine. Le pare-feu sur ce routeur est désactivé.
Vérifications de base : - la machine a accès à internet via le routeur ? - le démon SSH est lancé est accessible depuis le réseau local ? - pas de pare-feu sur la machine ? - le FAI ne bloque pas de ports ?
Si tout cela est bon, faire un traceroute TCP (par exemple avec tcptraceroute) sur le port 22 pour voir où ça bloque, et si possible sniffer le trafic sur la machine pour voir si quelque chose arrive.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Jean-Yves F. Barbier
steve a écrit :
Vi bien sûr... mais autant ne pas l'aider et interdire un ssh en root. Mais je pensais plus à toutes ces cochonneries qui traînent sur le net et dont on voit les traces dans le auth.log, dont le dernier date de pas si longtemps :
Mar 5 12:13:58 localhost sshd[25032]: Failed password for root from X.X.X.X port 48428 ssh2
c'est aussi pour ça qu'il faut éviter un login par password.
et pour les tentatives, monter le délai entre logins raté à 10-15 secondes suffit en Gal pour décourager l'adversaire :)
¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas trop lesquelles.
faire un backup complet du système à distance par exemple.
Dans ce cas ne serait-il pas mieux de définir un utilisateur dédié et de lui donner ponctuellement ces droits via sudo ? Cela limiterait les risques non ?
même réponse... un attaquant sérieux sait déjà ce qu'il attaque, et a une très bonne idée des failles qu'il va tenter d'exploiter.
-- If you're not very clever you should be conciliatory. -- Benjamin Disraeli
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
steve a écrit :
Vi bien sûr... mais autant ne pas l'aider et interdire un ssh en root.
Mais je pensais plus à toutes ces cochonneries qui traînent sur le net
et dont on voit les traces dans le auth.log, dont le dernier date de pas
si longtemps :
Mar 5 12:13:58 localhost sshd[25032]: Failed password for root from
X.X.X.X port 48428 ssh2
c'est aussi pour ça qu'il faut éviter un login par password.
et pour les tentatives, monter le délai entre logins raté à 10-15 secondes
suffit en Gal pour décourager l'adversaire :)
¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas
trop lesquelles.
faire un backup complet du système à distance par exemple.
Dans ce cas ne serait-il pas mieux de définir un utilisateur dédié et de
lui donner ponctuellement ces droits via sudo ? Cela limiterait les
risques non ?
même réponse... un attaquant sérieux sait déjà ce qu'il attaque, et a
une très bonne idée des failles qu'il va tenter d'exploiter.
--
If you're not very clever you should be conciliatory.
-- Benjamin Disraeli
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4B911F27.2070308@gmail.com
Vi bien sûr... mais autant ne pas l'aider et interdire un ssh en root. Mais je pensais plus à toutes ces cochonneries qui traînent sur le net et dont on voit les traces dans le auth.log, dont le dernier date de pas si longtemps :
Mar 5 12:13:58 localhost sshd[25032]: Failed password for root from X.X.X.X port 48428 ssh2
c'est aussi pour ça qu'il faut éviter un login par password.
et pour les tentatives, monter le délai entre logins raté à 10-15 secondes suffit en Gal pour décourager l'adversaire :)
¹ à moins que tu aies de bonnes raisons de le faire, mais je ne vois pas trop lesquelles.
faire un backup complet du système à distance par exemple.
Dans ce cas ne serait-il pas mieux de définir un utilisateur dédié et de lui donner ponctuellement ces droits via sudo ? Cela limiterait les risques non ?
même réponse... un attaquant sérieux sait déjà ce qu'il attaque, et a une très bonne idée des failles qu'il va tenter d'exploiter.
-- If you're not very clever you should be conciliatory. -- Benjamin Disraeli
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
steve
Le 05-03-2010, à 16:01:12 +0100, Thierry Chatelet () a écrit :
On Friday 05 March 2010 15:45:04 Jean-Yves F. Barbier wrote: > steve a écrit : > > Je ne sais pas pour ton problème, mais > > > >> Mon sshd_config : > >> PermitRootLogin yes > > > > ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as > > besoin. > > Awai, mais si un type possède des connaissances et les utilise pour cracker > SSH ou faire une MiM dans les règles, ne crois-tu pas qu'il aura *aussi* > les connaissances voulues pour l'aider à cracker le compte root... > > fail2ban peut limiter le nombre de tentatives.
Absolument, mais ça rajoute une couche (que se passe-t-il si pour une raison ou une autre, il échoue à se lancer au démarrage ?). Je ne vois toujours pas de bonnes raisons pour mettre à yes cette option.
A part ça, on disserte on disserte mais on n'aide pas notre ami Franck à résoudre son souci..
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le 05-03-2010, à 16:01:12 +0100, Thierry Chatelet (tchatelet@free.fr) a écrit :
On Friday 05 March 2010 15:45:04 Jean-Yves F. Barbier wrote:
> steve a écrit :
> > Je ne sais pas pour ton problème, mais
> >
> >> Mon sshd_config :
> >> PermitRootLogin yes
> >
> > ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as
> > besoin.
>
> Awai, mais si un type possède des connaissances et les utilise pour cracker
> SSH ou faire une MiM dans les règles, ne crois-tu pas qu'il aura *aussi*
> les connaissances voulues pour l'aider à cracker le compte root...
>
>
fail2ban peut limiter le nombre de tentatives.
Absolument, mais ça rajoute une couche (que se passe-t-il si pour une
raison ou une autre, il échoue à se lancer au démarrage ?). Je ne vois
toujours pas de bonnes raisons pour mettre à yes cette option.
A part ça, on disserte on disserte mais on n'aide pas notre ami Franck à
résoudre son souci..
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100305151329.GA24363@localdomain
Le 05-03-2010, à 16:01:12 +0100, Thierry Chatelet () a écrit :
On Friday 05 March 2010 15:45:04 Jean-Yves F. Barbier wrote: > steve a écrit : > > Je ne sais pas pour ton problème, mais > > > >> Mon sshd_config : > >> PermitRootLogin yes > > > > ça ce n'est pas « bien »¹. Mets à non et fais un su quand tu en as > > besoin. > > Awai, mais si un type possède des connaissances et les utilise pour cracker > SSH ou faire une MiM dans les règles, ne crois-tu pas qu'il aura *aussi* > les connaissances voulues pour l'aider à cracker le compte root... > > fail2ban peut limiter le nombre de tentatives.
Absolument, mais ça rajoute une couche (que se passe-t-il si pour une raison ou une autre, il échoue à se lancer au démarrage ?). Je ne vois toujours pas de bonnes raisons pour mettre à yes cette option.
A part ça, on disserte on disserte mais on n'aide pas notre ami Franck à résoudre son souci..
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Une chose qui peut être importante : lorsque j'essaye de me connecter via une machine de mon réseau local, en LAN ou en wifi, il n'y a aucun problème.
autre chose, mon fichier /etc/hosts.allow (sans que je n'y aie jamais touché directement) :
----------------------------
sendmail: all # /etc/hosts.allow: list of hosts that are allowed to access the system. # See the manual pages hosts_access(5), hosts_options(5) # and /usr/doc/netbase/portmapper.txt.gz # # Example: ALL: LOCAL @some_netgroup # ALL: .foobar.edu EXCEPT terminalserver.foobar.edu # # If you're going to protect the portmapper use the name "portmap" for the # daemon name. Remember that you can only use the keyword "ALL" and IP # addresses (NOT host or domain names) for the portmapper, as well as for # rpc.mountd (the NFS mount daemon). See portmap(8), rpc.mountd(8) and # /usr/share/doc/portmap/portmapper.txt.gz for further information. # portmap: 192.168.1.102 , 192.168.1.103 lockd: 192.168.1.102 , 192.168.1.103 rquotad: 192.168.1.102 , 192.168.1.103 mountd: 192.168.1.102 , 192.168.1.103 statd: 192.168.1.102 , 192.168.1.103
----------------------------
-- Franck Delage Création et hébergements de sites web www.web82.net
--YZ5djTAD1cGYuMQK Content-Type: application/pgp-signature; name="signature.asc" Content-Description: Digital signature Content-Disposition: inline
Une chose qui peut être importante : lorsque j'essaye de me connecter
via une machine de mon réseau local, en LAN ou en wifi, il n'y a aucun
problème.
autre chose, mon fichier /etc/hosts.allow (sans que je n'y aie jamais
touché directement) :
----------------------------
sendmail: all
# /etc/hosts.allow: list of hosts that are allowed to access the system.
# See the manual pages hosts_access(5), hosts_options(5)
# and /usr/doc/netbase/portmapper.txt.gz
#
# Example: ALL: LOCAL @some_netgroup
# ALL: .foobar.edu EXCEPT terminalserver.foobar.edu
#
# If you're going to protect the portmapper use the name "portmap" for the
# daemon name. Remember that you can only use the keyword "ALL" and IP
# addresses (NOT host or domain names) for the portmapper, as well as for
# rpc.mountd (the NFS mount daemon). See portmap(8), rpc.mountd(8) and
# /usr/share/doc/portmap/portmapper.txt.gz for further information.
#
portmap: 192.168.1.102 , 192.168.1.103
lockd: 192.168.1.102 , 192.168.1.103
rquotad: 192.168.1.102 , 192.168.1.103
mountd: 192.168.1.102 , 192.168.1.103
statd: 192.168.1.102 , 192.168.1.103
----------------------------
--
Franck Delage
Création et hébergements de sites web
www.web82.net
--YZ5djTAD1cGYuMQK
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100305151215.GA7946@debianfixe
Une chose qui peut être importante : lorsque j'essaye de me connecter via une machine de mon réseau local, en LAN ou en wifi, il n'y a aucun problème.
autre chose, mon fichier /etc/hosts.allow (sans que je n'y aie jamais touché directement) :
----------------------------
sendmail: all # /etc/hosts.allow: list of hosts that are allowed to access the system. # See the manual pages hosts_access(5), hosts_options(5) # and /usr/doc/netbase/portmapper.txt.gz # # Example: ALL: LOCAL @some_netgroup # ALL: .foobar.edu EXCEPT terminalserver.foobar.edu # # If you're going to protect the portmapper use the name "portmap" for the # daemon name. Remember that you can only use the keyword "ALL" and IP # addresses (NOT host or domain names) for the portmapper, as well as for # rpc.mountd (the NFS mount daemon). See portmap(8), rpc.mountd(8) and # /usr/share/doc/portmap/portmapper.txt.gz for further information. # portmap: 192.168.1.102 , 192.168.1.103 lockd: 192.168.1.102 , 192.168.1.103 rquotad: 192.168.1.102 , 192.168.1.103 mountd: 192.168.1.102 , 192.168.1.103 statd: 192.168.1.102 , 192.168.1.103
----------------------------
-- Franck Delage Création et hébergements de sites web www.web82.net
--YZ5djTAD1cGYuMQK Content-Type: application/pgp-signature; name="signature.asc" Content-Description: Digital signature Content-Disposition: inline
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100305153112.GB24640@debianfixe
