Bonjour
Ma passerelle est une mandrake 9.2
Mon firewall (shorewall) drop tout les paquets entrants (sur les connexions
non etablies)
Sauf pour le port 22 (administration via ssh)
Vu que c'est le seul point faible (que je connaisse) de ma passerelle, je le
surveille. Et je suis souvent "attaqué" par des tentatives de connexion avec
des user et pass tres courant.
Comme je ne connais pas tout, je me dis qu'une fois que la personne a ouvert
un ssh (meme sans pass) elle peut commencer a faire des "betises"
Je me demandai si une bonne solution ne serai pas betement de changer le
port de mon ssh.
Cela aura un effet ?
Je pense qu'il est facile de faire un scan de tous ports, puis essayer une
connexion sur ceux qui repondent pour voir ce qu'ils ont a dire, mais ca
peux en décourager les jeunes hacker.
Si c'est une bonne solution, y a t'il des ports a eviter ?
Je me demandai si une bonne solution ne serai pas betement de changer le port de mon ssh.
Cela aura un effet ? Je pense qu'il est facile de faire un scan de tous ports, puis essayer une connexion sur ceux qui repondent pour voir ce qu'ils ont a dire, mais ca peux en décourager les jeunes hacker.
Si c'est une bonne solution, y a t'il des ports a eviter ?
Merci pour vos lumieres
Joel.
Salut,
Ce que je vais te dire ne te dispensera aucunement des précautions de base (vrais mots de passe type C8hGtz6U, changés régulièrement, ...).
Tu peux mettre ssh sur un port connu de toi seul, au dessus de 10 000.
Et mettre derrière un IDS qui va détecter les port scan et DROP tout ce qui vient des machines coupables de ces actions.
Le seul risque en ssh ouvert sans login et mdp connus c'est un exploit sur le serveur ssh (qui comme tout programme peut avoir des failles de sécu).
Mais bon les 3/4 des piratages viennent de fuite de l'intérieur de l'entreprise...
@+,
--
Joel wrote:
Je me demandai si une bonne solution ne serai pas betement de changer le
port de mon ssh.
Cela aura un effet ?
Je pense qu'il est facile de faire un scan de tous ports, puis essayer une
connexion sur ceux qui repondent pour voir ce qu'ils ont a dire, mais ca
peux en décourager les jeunes hacker.
Si c'est une bonne solution, y a t'il des ports a eviter ?
Merci pour vos lumieres
Joel.
Salut,
Ce que je vais te dire ne te dispensera aucunement des précautions de
base (vrais mots de passe type C8hGtz6U, changés régulièrement, ...).
Tu peux mettre ssh sur un port connu de toi seul, au dessus de 10 000.
Et mettre derrière un IDS qui va détecter les port scan et DROP tout ce
qui vient des machines coupables de ces actions.
Le seul risque en ssh ouvert sans login et mdp connus c'est un exploit
sur le serveur ssh (qui comme tout programme peut avoir des failles de
sécu).
Mais bon les 3/4 des piratages viennent de fuite de l'intérieur de
l'entreprise...
Je me demandai si une bonne solution ne serai pas betement de changer le port de mon ssh.
Cela aura un effet ? Je pense qu'il est facile de faire un scan de tous ports, puis essayer une connexion sur ceux qui repondent pour voir ce qu'ils ont a dire, mais ca peux en décourager les jeunes hacker.
Si c'est une bonne solution, y a t'il des ports a eviter ?
Merci pour vos lumieres
Joel.
Salut,
Ce que je vais te dire ne te dispensera aucunement des précautions de base (vrais mots de passe type C8hGtz6U, changés régulièrement, ...).
Tu peux mettre ssh sur un port connu de toi seul, au dessus de 10 000.
Et mettre derrière un IDS qui va détecter les port scan et DROP tout ce qui vient des machines coupables de ces actions.
Le seul risque en ssh ouvert sans login et mdp connus c'est un exploit sur le serveur ssh (qui comme tout programme peut avoir des failles de sécu).
Mais bon les 3/4 des piratages viennent de fuite de l'intérieur de l'entreprise...
@+,
--
Alexandre Havard
Joel wrote:
Vu que c'est le seul point faible (que je connaisse) de ma passerelle, je le surveille. Et je suis souvent "attaqué" par des tentatives de connexion avec des user et pass tres courant. Comme je ne connais pas tout, je me dis qu'une fois que la personne a ouvert un ssh (meme sans pass) elle peut commencer a faire des "betises"
Sans aucun doute mais comment une connexion SSH pourrait-elle être établie "sans pass". J'espère pour vous que vous n'avez pas d'utilisateur configuré ainsi et même si c'était le cas, le fichier de configuration de sshd contient la directive suivante (par défaut) : PermitEmptyPasswords no
Une autre chose qu'il est (AMHA) bon de faire est de modifier cette directive (qui n'est pas configurée comme ceci par défaut) : PermitRootLogin no afin d'éviter que quelqu'un puisse être tenté par une attaque bruteforce sur votre login root et que, par malheur, vous ayez choisi le prénom de votre tante comme mot de passe.
Je me demandai si une bonne solution ne serai pas betement de changer le port de mon ssh. Cela aura un effet ?
Non. Un scan de la machine permettrait de le retrouver sans difficulté.
Je pense qu'il est facile de faire un scan de tous ports, puis essayer une connexion sur ceux qui repondent pour voir ce qu'ils ont a dire, mais ca peux en décourager les jeunes hacker.
"Un jeune hacker" (je suppose que vous parlez des utilisateurs de scanners de faille) n'a que très rarement des bases sous Linux et encore moins une idée de quoi faire devant un shell. -- Alexandre Havard In God we Trust -- all others must submit an X.509 certificate.
Joel wrote:
Vu que c'est le seul point faible (que je connaisse) de ma passerelle, je le
surveille. Et je suis souvent "attaqué" par des tentatives de connexion avec
des user et pass tres courant.
Comme je ne connais pas tout, je me dis qu'une fois que la personne a ouvert
un ssh (meme sans pass) elle peut commencer a faire des "betises"
Sans aucun doute mais comment une connexion SSH pourrait-elle être
établie "sans pass". J'espère pour vous que vous n'avez pas
d'utilisateur configuré ainsi et même si c'était le cas, le fichier de
configuration de sshd contient la directive suivante (par défaut) :
PermitEmptyPasswords no
Une autre chose qu'il est (AMHA) bon de faire est de modifier cette
directive (qui n'est pas configurée comme ceci par défaut) :
PermitRootLogin no
afin d'éviter que quelqu'un puisse être tenté par une attaque bruteforce
sur votre login root et que, par malheur, vous ayez choisi le prénom de
votre tante comme mot de passe.
Je me demandai si une bonne solution ne serai pas betement de changer le
port de mon ssh.
Cela aura un effet ?
Non. Un scan de la machine permettrait de le retrouver sans difficulté.
Je pense qu'il est facile de faire un scan de tous ports, puis essayer une
connexion sur ceux qui repondent pour voir ce qu'ils ont a dire, mais ca
peux en décourager les jeunes hacker.
"Un jeune hacker" (je suppose que vous parlez des utilisateurs de
scanners de faille) n'a que très rarement des bases sous Linux et encore
moins une idée de quoi faire devant un shell.
--
Alexandre Havard
In God we Trust -- all others must submit an X.509 certificate.
Vu que c'est le seul point faible (que je connaisse) de ma passerelle, je le surveille. Et je suis souvent "attaqué" par des tentatives de connexion avec des user et pass tres courant. Comme je ne connais pas tout, je me dis qu'une fois que la personne a ouvert un ssh (meme sans pass) elle peut commencer a faire des "betises"
Sans aucun doute mais comment une connexion SSH pourrait-elle être établie "sans pass". J'espère pour vous que vous n'avez pas d'utilisateur configuré ainsi et même si c'était le cas, le fichier de configuration de sshd contient la directive suivante (par défaut) : PermitEmptyPasswords no
Une autre chose qu'il est (AMHA) bon de faire est de modifier cette directive (qui n'est pas configurée comme ceci par défaut) : PermitRootLogin no afin d'éviter que quelqu'un puisse être tenté par une attaque bruteforce sur votre login root et que, par malheur, vous ayez choisi le prénom de votre tante comme mot de passe.
Je me demandai si une bonne solution ne serai pas betement de changer le port de mon ssh. Cela aura un effet ?
Non. Un scan de la machine permettrait de le retrouver sans difficulté.
Je pense qu'il est facile de faire un scan de tous ports, puis essayer une connexion sur ceux qui repondent pour voir ce qu'ils ont a dire, mais ca peux en décourager les jeunes hacker.
"Un jeune hacker" (je suppose que vous parlez des utilisateurs de scanners de faille) n'a que très rarement des bases sous Linux et encore moins une idée de quoi faire devant un shell. -- Alexandre Havard In God we Trust -- all others must submit an X.509 certificate.
MLC
"Joel" a écrit dans le message de news:cffrls$4hs$
Bonjour Ma passerelle est une mandrake 9.2 Mon firewall (shorewall) drop tout les paquets entrants (sur les connexions
[...]
Comme je ne connais pas tout, je me dis qu'une fois que la personne a ouvert
un ssh (meme sans pass) elle peut commencer a faire des "betises"
Oui en effet...
Je me demandai si une bonne solution ne serai pas betement de changer le port de mon ssh.
Ce serai déjà une très bonne chose de faire écouter le démon SSH sur un port non standard supérieur 1024.
Cela aura un effet ?
Bien sûr, tu en dissuaderas plus d'un à chercher un port SSH sur ta passerrelle. Tu *diminues* les chances de te faire compromettre ta passerelle. En principe tu devrais observer moins de tentatives d'attaques sur ton port SSH.
Penses aussi à vérifier dans le fichier de conf de SSHD que root ne peut pas se connecter à distance via SSH :
PermitRootLogin no
Je pense qu'il est facile de faire un scan de tous ports, puis essayer une connexion sur ceux qui repondent pour voir ce qu'ils ont a dire,
Oui, mais il faut que tu intérèsses fortement les vilains pour qu'il s'acharnent sur ta passerelle à détecter quel est le port ouvert en SSH. C'est pas les scripts automatique qui le feront, ils partiront à la recherche d'autres machines moins bien configurés ou plus vulnérables.
mais ca peux en décourager les jeunes hacker.
Si c'est une bonne solution, y a t'il des ports a eviter ?
Tu peux aussi souhaiter activer l'écoute du démon SSH uniquement sur demande en utilisant _par exemple_ le port knocking ! illustration ici : www.hsc.fr/ressources/breves/secretssh.html.fr
L'inconvénient, c'est que tu dois avoir un script client en permanence sous la main pour activer SSHD à distance.
Joel.
Marc
"Joel" <nospam@nospam.com> a écrit dans le message de
news:cffrls$4hs$1@news-reader4.wanadoo.fr...
Bonjour
Ma passerelle est une mandrake 9.2
Mon firewall (shorewall) drop tout les paquets entrants (sur les
connexions
[...]
Comme je ne connais pas tout, je me dis qu'une fois que la personne a
ouvert
un ssh (meme sans pass) elle peut commencer a faire des "betises"
Oui en effet...
Je me demandai si une bonne solution ne serai pas betement de changer le
port de mon ssh.
Ce serai déjà une très bonne chose de faire écouter le démon SSH sur un port
non standard supérieur 1024.
Cela aura un effet ?
Bien sûr, tu en dissuaderas plus d'un à chercher un port SSH sur ta
passerrelle. Tu *diminues* les chances de te faire compromettre ta
passerelle. En principe tu devrais observer moins de tentatives d'attaques
sur ton port SSH.
Penses aussi à vérifier dans le fichier de conf de SSHD que root ne peut pas
se connecter à distance via SSH :
PermitRootLogin no
Je pense qu'il est facile de faire un scan de tous ports, puis essayer une
connexion sur ceux qui repondent pour voir ce qu'ils ont a dire,
Oui, mais il faut que tu intérèsses fortement les vilains pour qu'il
s'acharnent sur ta passerelle à détecter quel est le port ouvert en SSH.
C'est pas les scripts automatique qui le feront, ils partiront à la
recherche d'autres machines moins bien configurés ou plus vulnérables.
mais ca
peux en décourager les jeunes hacker.
Si c'est une bonne solution, y a t'il des ports a eviter ?
Tu peux aussi souhaiter activer l'écoute du démon SSH uniquement sur demande
en utilisant _par exemple_ le port knocking ! illustration ici :
www.hsc.fr/ressources/breves/secretssh.html.fr
L'inconvénient, c'est que tu dois avoir un script client en permanence sous
la main pour activer SSHD à distance.
"Joel" a écrit dans le message de news:cffrls$4hs$
Bonjour Ma passerelle est une mandrake 9.2 Mon firewall (shorewall) drop tout les paquets entrants (sur les connexions
[...]
Comme je ne connais pas tout, je me dis qu'une fois que la personne a ouvert
un ssh (meme sans pass) elle peut commencer a faire des "betises"
Oui en effet...
Je me demandai si une bonne solution ne serai pas betement de changer le port de mon ssh.
Ce serai déjà une très bonne chose de faire écouter le démon SSH sur un port non standard supérieur 1024.
Cela aura un effet ?
Bien sûr, tu en dissuaderas plus d'un à chercher un port SSH sur ta passerrelle. Tu *diminues* les chances de te faire compromettre ta passerelle. En principe tu devrais observer moins de tentatives d'attaques sur ton port SSH.
Penses aussi à vérifier dans le fichier de conf de SSHD que root ne peut pas se connecter à distance via SSH :
PermitRootLogin no
Je pense qu'il est facile de faire un scan de tous ports, puis essayer une connexion sur ceux qui repondent pour voir ce qu'ils ont a dire,
Oui, mais il faut que tu intérèsses fortement les vilains pour qu'il s'acharnent sur ta passerelle à détecter quel est le port ouvert en SSH. C'est pas les scripts automatique qui le feront, ils partiront à la recherche d'autres machines moins bien configurés ou plus vulnérables.
mais ca peux en décourager les jeunes hacker.
Si c'est une bonne solution, y a t'il des ports a eviter ?
Tu peux aussi souhaiter activer l'écoute du démon SSH uniquement sur demande en utilisant _par exemple_ le port knocking ! illustration ici : www.hsc.fr/ressources/breves/secretssh.html.fr
L'inconvénient, c'est que tu dois avoir un script client en permanence sous la main pour activer SSHD à distance.
Joel.
Marc
Grindipo
Bonjour Bonsoir,
Vu que c'est le seul point faible (que je connaisse) de ma passerelle, je le
surveille. Et je suis souvent "attaqué" par des tentatives de connexion avec
des user et pass tres courant. Bonne leçon : éviter anonymous/anonymous et toto/titi ;)
Comme je ne connais pas tout, je me dis qu'une fois que la personne a ouvert
un ssh (meme sans pass) elle peut commencer a faire des "betises" Tu veux dire qu'elle a entré son login mais pas le pass ? A mon avis, le
principe est que justement il est impossible de faire quoi que ce soit sans le pass.
Je me demandai si une bonne solution ne serai pas betement de changer le port de mon ssh. Déplacer une vulnérabilité ne l'élimine pas. Si vraiment ssh sur le port 22
est vulnérable, le déplacer sur le port 2222 n'empêchera pas l'exploitation de la faille.
Cela aura un effet ? Je pense qu'il est facile de faire un scan de tous ports, puis essayer une connexion sur ceux qui repondent pour voir ce qu'ils ont a dire, mais ca peux en décourager les jeunes hacker. C'est peut-être un avantage du changement de port : réduire le nombre de
tentatives de connexion (si elles utilisent des ressources).
Si c'est une bonne solution, y a t'il des ports a eviter ? En théorie, non. Certains ports sont "traditionnellement" affectés (21=ftp
80=http...). Ces ports sont tous <1024. Donc choisir >1024 permet d'éviter les confusions.
Grindipo
Bonjour
Bonsoir,
Vu que c'est le seul point faible (que je connaisse) de ma passerelle, je
le
surveille. Et je suis souvent "attaqué" par des tentatives de connexion
avec
des user et pass tres courant.
Bonne leçon : éviter anonymous/anonymous et toto/titi ;)
Comme je ne connais pas tout, je me dis qu'une fois que la personne a
ouvert
un ssh (meme sans pass) elle peut commencer a faire des "betises"
Tu veux dire qu'elle a entré son login mais pas le pass ? A mon avis, le
principe est que justement il est impossible de faire quoi que ce soit sans
le pass.
Je me demandai si une bonne solution ne serai pas betement de changer le
port de mon ssh.
Déplacer une vulnérabilité ne l'élimine pas. Si vraiment ssh sur le port 22
est vulnérable, le déplacer sur le port 2222 n'empêchera pas l'exploitation
de la faille.
Cela aura un effet ?
Je pense qu'il est facile de faire un scan de tous ports, puis essayer une
connexion sur ceux qui repondent pour voir ce qu'ils ont a dire, mais ca
peux en décourager les jeunes hacker.
C'est peut-être un avantage du changement de port : réduire le nombre de
tentatives de connexion (si elles utilisent des ressources).
Si c'est une bonne solution, y a t'il des ports a eviter ?
En théorie, non. Certains ports sont "traditionnellement" affectés (21=ftp
80=http...). Ces ports sont tous <1024. Donc choisir >1024 permet d'éviter
les confusions.
Vu que c'est le seul point faible (que je connaisse) de ma passerelle, je le
surveille. Et je suis souvent "attaqué" par des tentatives de connexion avec
des user et pass tres courant. Bonne leçon : éviter anonymous/anonymous et toto/titi ;)
Comme je ne connais pas tout, je me dis qu'une fois que la personne a ouvert
un ssh (meme sans pass) elle peut commencer a faire des "betises" Tu veux dire qu'elle a entré son login mais pas le pass ? A mon avis, le
principe est que justement il est impossible de faire quoi que ce soit sans le pass.
Je me demandai si une bonne solution ne serai pas betement de changer le port de mon ssh. Déplacer une vulnérabilité ne l'élimine pas. Si vraiment ssh sur le port 22
est vulnérable, le déplacer sur le port 2222 n'empêchera pas l'exploitation de la faille.
Cela aura un effet ? Je pense qu'il est facile de faire un scan de tous ports, puis essayer une connexion sur ceux qui repondent pour voir ce qu'ils ont a dire, mais ca peux en décourager les jeunes hacker. C'est peut-être un avantage du changement de port : réduire le nombre de
tentatives de connexion (si elles utilisent des ressources).
Si c'est une bonne solution, y a t'il des ports a eviter ? En théorie, non. Certains ports sont "traditionnellement" affectés (21=ftp
80=http...). Ces ports sont tous <1024. Donc choisir >1024 permet d'éviter les confusions.
Grindipo
Nicob
On Fri, 13 Aug 2004 07:15:19 +0000, MLC wrote:
Oui, mais il faut que tu intérèsses fortement les vilains pour qu'il s'acharnent sur ta passerelle à détecter quel est le port ouvert en SSH. C'est pas les scripts automatique qui le feront, ils partiront à la recherche d'autres machines moins bien configurés ou plus vulnérables.
Yep ! Donc le passage sur un port non standard bloquera les outils automatiques (style diffusion d'un 0-day sur OpenSSH dans la nuit de Vendredi à Samedi alors que vous êtes en WE au fin fond de la campagne puis mass-rooting par les kiddies) mais devrait à peine ralentir un attaquant déterminé ...
-- Nicob
On Fri, 13 Aug 2004 07:15:19 +0000, MLC wrote:
Oui, mais il faut que tu intérèsses fortement les vilains pour qu'il
s'acharnent sur ta passerelle à détecter quel est le port ouvert en SSH.
C'est pas les scripts automatique qui le feront, ils partiront à la
recherche d'autres machines moins bien configurés ou plus vulnérables.
Yep ! Donc le passage sur un port non standard bloquera les outils
automatiques (style diffusion d'un 0-day sur OpenSSH dans la nuit de
Vendredi à Samedi alors que vous êtes en WE au fin fond de la campagne
puis mass-rooting par les kiddies) mais devrait à peine ralentir un
attaquant déterminé ...
Oui, mais il faut que tu intérèsses fortement les vilains pour qu'il s'acharnent sur ta passerelle à détecter quel est le port ouvert en SSH. C'est pas les scripts automatique qui le feront, ils partiront à la recherche d'autres machines moins bien configurés ou plus vulnérables.
Yep ! Donc le passage sur un port non standard bloquera les outils automatiques (style diffusion d'un 0-day sur OpenSSH dans la nuit de Vendredi à Samedi alors que vous êtes en WE au fin fond de la campagne puis mass-rooting par les kiddies) mais devrait à peine ralentir un attaquant déterminé ...
-- Nicob
Grindipo
Comme je ne connais pas tout, je me dis qu'une fois que la personne a ouvert un ssh (meme sans pass) elle peut commencer a faire des "betises" Oui en effet...
Il faut que je sois sûr de comprendre là. "ouvert un ssh (meme sans pass)"
signifie quoi : - utiliser un login où le pass n'est pas nécéssaire (folie). - le stade où le login est entré et que le serveur attend la saisie du pass. Dans le second cas, ça remet en cause ssh. Je penche pourtant optimistement vers le premier...
Grindipo
Comme je ne connais pas tout, je me dis qu'une fois que la personne a
ouvert un ssh (meme sans pass) elle peut commencer a faire des "betises"
Oui en effet...
Il faut que je sois sûr de comprendre là. "ouvert un ssh (meme sans pass)"
signifie quoi :
- utiliser un login où le pass n'est pas nécéssaire (folie).
- le stade où le login est entré et que le serveur attend la saisie du pass.
Dans le second cas, ça remet en cause ssh.
Je penche pourtant optimistement vers le premier...
Comme je ne connais pas tout, je me dis qu'une fois que la personne a ouvert un ssh (meme sans pass) elle peut commencer a faire des "betises" Oui en effet...
Il faut que je sois sûr de comprendre là. "ouvert un ssh (meme sans pass)"
signifie quoi : - utiliser un login où le pass n'est pas nécéssaire (folie). - le stade où le login est entré et que le serveur attend la saisie du pass. Dans le second cas, ça remet en cause ssh. Je penche pourtant optimistement vers le premier...
Grindipo
T0t0
"Joel" wrote in message news:cffrls$4hs$
Je me demandai si une bonne solution ne serai pas betement de changer le port de mon ssh.
Bof, c'est de la sécurité par l'obscurité, donc valable dans une certaine mesure, mais en aucun cas un mécanisme de sécurité fiable.
Et puis pour rester compliant, autant rester en 22...
Cela aura un effet ?
Rien à part faire tourner ton serveur sur un autre port que celui réservé à cet effet.
Si c'est une bonne solution, y a t'il des ports a eviter ?
Je ne pense pas que ce soit une bonne solution. A mon avis, l'utilisation de cles RSA ou DSA est bien plus securisée. D'une part, tu pourras désactiver la connexion par login/pass, et d'autre part, le mot de passe utilisé pour déchiffrer la clef privée ne sera utilisé qu'en local et n'aura aucun rapport avec celui du compte sur lequel tu te connectes. De plus, seuls les comptes possédant une clef publique dans leur ~home/.ssh seront accessibles, tous les autres comptes seront inaccessibles. Il te suffira de faire un su dans ta session après pour y accéder. Et hop, ouste les kiddies ! ;-)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Joel" <nospam@nospam.com> wrote in message
news:cffrls$4hs$1@news-reader4.wanadoo.fr
Je me demandai si une bonne solution ne serai pas betement de changer le
port de mon ssh.
Bof, c'est de la sécurité par l'obscurité, donc valable dans une
certaine mesure, mais en aucun cas un mécanisme de sécurité fiable.
Et puis pour rester compliant, autant rester en 22...
Cela aura un effet ?
Rien à part faire tourner ton serveur sur un autre port que celui
réservé à cet effet.
Si c'est une bonne solution, y a t'il des ports a eviter ?
Je ne pense pas que ce soit une bonne solution.
A mon avis, l'utilisation de cles RSA ou DSA est bien plus securisée.
D'une part, tu pourras désactiver la connexion par login/pass, et
d'autre part, le mot de passe utilisé pour déchiffrer la clef privée
ne sera utilisé qu'en local et n'aura aucun rapport avec celui du
compte sur lequel tu te connectes.
De plus, seuls les comptes possédant une clef publique dans leur
~home/.ssh seront accessibles, tous les autres comptes seront
inaccessibles. Il te suffira de faire un su dans ta session
après pour y accéder.
Et hop, ouste les kiddies ! ;-)
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Je me demandai si une bonne solution ne serai pas betement de changer le port de mon ssh.
Bof, c'est de la sécurité par l'obscurité, donc valable dans une certaine mesure, mais en aucun cas un mécanisme de sécurité fiable.
Et puis pour rester compliant, autant rester en 22...
Cela aura un effet ?
Rien à part faire tourner ton serveur sur un autre port que celui réservé à cet effet.
Si c'est une bonne solution, y a t'il des ports a eviter ?
Je ne pense pas que ce soit une bonne solution. A mon avis, l'utilisation de cles RSA ou DSA est bien plus securisée. D'une part, tu pourras désactiver la connexion par login/pass, et d'autre part, le mot de passe utilisé pour déchiffrer la clef privée ne sera utilisé qu'en local et n'aura aucun rapport avec celui du compte sur lequel tu te connectes. De plus, seuls les comptes possédant une clef publique dans leur ~home/.ssh seront accessibles, tous les autres comptes seront inaccessibles. Il te suffira de faire un su dans ta session après pour y accéder. Et hop, ouste les kiddies ! ;-)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Nicob
On Fri, 13 Aug 2004 12:07:06 +0000, T0t0 wrote:
De plus, seuls les comptes possédant une clef publique dans leur ~home/.ssh seront accessibles, tous les autres comptes seront inaccessibles. Il te suffira de faire un su dans ta session après pour y accéder.
Très bon pour la traçabilité et pour la séparation des droits (/etc/sudoers), par exemple sur des machines ayant plusieurs admins.
Nicob
On Fri, 13 Aug 2004 12:07:06 +0000, T0t0 wrote:
De plus, seuls les comptes possédant une clef publique dans leur
~home/.ssh seront accessibles, tous les autres comptes seront
inaccessibles. Il te suffira de faire un su dans ta session
après pour y accéder.
Très bon pour la traçabilité et pour la séparation des droits
(/etc/sudoers), par exemple sur des machines ayant plusieurs admins.
De plus, seuls les comptes possédant une clef publique dans leur ~home/.ssh seront accessibles, tous les autres comptes seront inaccessibles. Il te suffira de faire un su dans ta session après pour y accéder.
Très bon pour la traçabilité et pour la séparation des droits (/etc/sudoers), par exemple sur des machines ayant plusieurs admins.
Nicob
Joel
[...]
Comme je ne connais pas tout, je me dis qu'une fois que la personne a ouvert
un ssh (meme sans pass) elle peut commencer a faire des "betises" Tu veux dire qu'elle a entré son login mais pas le pass ? A mon avis, le
principe est que justement il est impossible de faire quoi que ce soit sans
le pass.
Pour moi, a partir du moment ou un serveur repond, que le hacker sait que un service (ssh) est a l'écoute, il va commencer a travailler (meme sans mot de pass). Je dis n'importe quoi, mais y a peut etre une faille (bug) dans ssh. C'est contre ce genre de probleme que je veux me proteger. (Je fait aussi des mise a jour régulieres)
Voila pour l'eclairssissement :) et merci pour tes conseils.
Joel
[...]
Comme je ne connais pas tout, je me dis qu'une fois que la personne a
ouvert
un ssh (meme sans pass) elle peut commencer a faire des "betises"
Tu veux dire qu'elle a entré son login mais pas le pass ? A mon avis, le
principe est que justement il est impossible de faire quoi que ce soit
sans
le pass.
Pour moi, a partir du moment ou un serveur repond, que le hacker sait que un
service (ssh) est a l'écoute, il va commencer a travailler (meme sans mot de
pass).
Je dis n'importe quoi, mais y a peut etre une faille (bug) dans ssh.
C'est contre ce genre de probleme que je veux me proteger.
(Je fait aussi des mise a jour régulieres)
Voila pour l'eclairssissement :)
et merci pour tes conseils.
Comme je ne connais pas tout, je me dis qu'une fois que la personne a ouvert
un ssh (meme sans pass) elle peut commencer a faire des "betises" Tu veux dire qu'elle a entré son login mais pas le pass ? A mon avis, le
principe est que justement il est impossible de faire quoi que ce soit sans
le pass.
Pour moi, a partir du moment ou un serveur repond, que le hacker sait que un service (ssh) est a l'écoute, il va commencer a travailler (meme sans mot de pass). Je dis n'importe quoi, mais y a peut etre une faille (bug) dans ssh. C'est contre ce genre de probleme que je veux me proteger. (Je fait aussi des mise a jour régulieres)
Voila pour l'eclairssissement :) et merci pour tes conseils.
Joel
Emmanuel Florac
Le Thu, 12 Aug 2004 19:54:50 +0000, Joel a écrit :
Sauf pour le port 22 (administration via ssh)
Tu pourrais aussi peut-être limiter les adresses qui peuvent s'y connecter. Chez moi par exemple, je ne peux me connecter à ma machine que depuis mon bureau ou chez un copain :)
-- Je suis riche des biens dont je sais me passer. Louis-Jean-Baptiste Etienne Vigée.
Le Thu, 12 Aug 2004 19:54:50 +0000, Joel a écrit :
Sauf pour le port 22 (administration via ssh)
Tu pourrais aussi peut-être limiter les adresses qui peuvent s'y
connecter. Chez moi par exemple, je ne peux me connecter à ma machine que
depuis mon bureau ou chez un copain :)
--
Je suis riche des biens dont je sais me passer.
Louis-Jean-Baptiste Etienne Vigée.
Le Thu, 12 Aug 2004 19:54:50 +0000, Joel a écrit :
Sauf pour le port 22 (administration via ssh)
Tu pourrais aussi peut-être limiter les adresses qui peuvent s'y connecter. Chez moi par exemple, je ne peux me connecter à ma machine que depuis mon bureau ou chez un copain :)
-- Je suis riche des biens dont je sais me passer. Louis-Jean-Baptiste Etienne Vigée.
