Dans la mesure ou mon serveur SSH (et le client, tous les deux sous
Linux) est à jour, cette configuration est-elle correcte au niveau
sécurité :
- Ecoute port 22
- Uniquement connexion via des clés
- Clé avec une Passphrase longue et pas facile à trouver
- Connexion possible uniquement en User (pas en root)
- Déconnexion au bout de 15 secondes si pas de mot de passe.
Une ecoute sur un autre port aurait été preferable. Cela t'éviterait de voir ta machine sollicitée à tout va à la recherche de trous !
Amicalement
de rien. @+
Eric Razny
Le Sat, 08 Apr 2006 15:15:30 +0000, FrekoDing a écrit :
- Ecoute port 22
Une ecoute sur un autre port aurait été preferable. Cela t'éviterait de voir ta machine sollicitée à tout va à la recherche de trous !
Il n'y a pas si longtemps je n'aurais pas été contre, mais quand tu dois accéder à partir de chez toi (ie FAI grand public) certains fournisseurs sont assez débile pour paramètrer avec les pieds la QoS de leur réseau rendant pénible, sinon impossible l'utilisation de ssh sur ces ports non privilégiés (penible pour un shell, je ne parle même pas d'y faire passer autre chose).
J'ai donc gardé un serveur accessible en permanence sur le 22/TCP pour servir de rebond au cas où.
Inversement en grps via orange par exemple, sur un forfait grand public -orange "pro" pour ne pas le nommer- le 22/tcp n'est pas accessible. Résultat tunnelling[1] sur du 23/tcp ou du 443/tcp. Ce ne sont pas les ports les moins scannés (encore que je trouve le 23 plutôt calme).
Donc attention à bien faire un compromis avant de choisir où tu place ton ssh :).
Eric
[1] de toute façon sauf pour du surf "basique" le tunnel chiffré est amha un truc à faire en gprs/wifi. Ca n'accélère pas le bidule mais c'est fort agréable. Bien entendu il faut se mettre à l'abris des attaques par rebond et la tête de vpn ne doit pas sortir n'importe où ;)
Le Sat, 08 Apr 2006 15:15:30 +0000, FrekoDing a écrit :
- Ecoute port 22
Une ecoute sur un autre port aurait été preferable. Cela t'éviterait de
voir ta machine sollicitée à tout va à la recherche de trous !
Il n'y a pas si longtemps je n'aurais pas été contre, mais quand tu dois
accéder à partir de chez toi (ie FAI grand public) certains fournisseurs
sont assez débile pour paramètrer avec les pieds la QoS de leur réseau
rendant pénible, sinon impossible l'utilisation de ssh sur ces ports non
privilégiés (penible pour un shell, je ne parle même pas d'y faire
passer autre chose).
J'ai donc gardé un serveur accessible en permanence sur le 22/TCP pour
servir de rebond au cas où.
Inversement en grps via orange par exemple, sur un forfait grand public
-orange "pro" pour ne pas le nommer- le 22/tcp n'est pas accessible.
Résultat tunnelling[1] sur du 23/tcp ou du 443/tcp. Ce ne sont pas les
ports les moins scannés (encore que je trouve le 23 plutôt calme).
Donc attention à bien faire un compromis avant de choisir où tu place
ton ssh :).
Eric
[1] de toute façon sauf pour du surf "basique" le tunnel chiffré est
amha un truc à faire en gprs/wifi. Ca n'accélère pas le bidule mais
c'est fort agréable. Bien entendu il faut se mettre à l'abris des
attaques par rebond et la tête de vpn ne doit pas sortir n'importe où ;)
Le Sat, 08 Apr 2006 15:15:30 +0000, FrekoDing a écrit :
- Ecoute port 22
Une ecoute sur un autre port aurait été preferable. Cela t'éviterait de voir ta machine sollicitée à tout va à la recherche de trous !
Il n'y a pas si longtemps je n'aurais pas été contre, mais quand tu dois accéder à partir de chez toi (ie FAI grand public) certains fournisseurs sont assez débile pour paramètrer avec les pieds la QoS de leur réseau rendant pénible, sinon impossible l'utilisation de ssh sur ces ports non privilégiés (penible pour un shell, je ne parle même pas d'y faire passer autre chose).
J'ai donc gardé un serveur accessible en permanence sur le 22/TCP pour servir de rebond au cas où.
Inversement en grps via orange par exemple, sur un forfait grand public -orange "pro" pour ne pas le nommer- le 22/tcp n'est pas accessible. Résultat tunnelling[1] sur du 23/tcp ou du 443/tcp. Ce ne sont pas les ports les moins scannés (encore que je trouve le 23 plutôt calme).
Donc attention à bien faire un compromis avant de choisir où tu place ton ssh :).
Eric
[1] de toute façon sauf pour du surf "basique" le tunnel chiffré est amha un truc à faire en gprs/wifi. Ca n'accélère pas le bidule mais c'est fort agréable. Bien entendu il faut se mettre à l'abris des attaques par rebond et la tête de vpn ne doit pas sortir n'importe où ;)
Eric Belhomme
Eric Razny wrote in news:pan.2006.04.08.21.37.39.90713 @razny.net:
Inversement en grps via orange par exemple, sur un forfait grand public -orange "pro" pour ne pas le nommer- le 22/tcp n'est pas accessible.
le port 22 est bloqué sur un forfait pro ??? Décidément y'a pas à dire : chez FT ils ont l'art et la manière de pousser leur clientèle chez la concurence...
-- Rico
Eric Razny <news_01@razny.net> wrote in news:pan.2006.04.08.21.37.39.90713
@razny.net:
Inversement en grps via orange par exemple, sur un forfait grand public
-orange "pro" pour ne pas le nommer- le 22/tcp n'est pas accessible.
le port 22 est bloqué sur un forfait pro ??? Décidément y'a pas à dire :
chez FT ils ont l'art et la manière de pousser leur clientèle chez la
concurence...
Eric Razny wrote in news:pan.2006.04.08.21.37.39.90713 @razny.net:
Inversement en grps via orange par exemple, sur un forfait grand public -orange "pro" pour ne pas le nommer- le 22/tcp n'est pas accessible.
le port 22 est bloqué sur un forfait pro ??? Décidément y'a pas à dire : chez FT ils ont l'art et la manière de pousser leur clientèle chez la concurence...
-- Rico
Eric Razny
Le Tue, 11 Apr 2006 10:21:49 +0000, Eric Belhomme a écrit :
Inversement en grps via orange par exemple, sur un forfait grand public -orange "pro" pour ne pas le nommer- le 22/tcp n'est pas accessible.
le port 22 est bloqué sur un forfait pro ??? Décidément y'a pas à dire : chez FT ils ont l'art et la manière de pousser leur clientèle chez la concurence...
Au mois de décembre c'était encore le cas. Comme j'active le vpn dès que je suis connecté je n'ai plus regardé despuis.
Le pire (et c'est pour ça que ton post a passé la modération :) ) c'est que comme le 23/tcp est ouvert ça doit bien en pousser quelques un a ouvrir le service "naturel" la dessus :( (oui oui, il y a encore des telnet dans la nature).
Le côté amusant (pour moi ridicule) de la chose c'est que le "pro" laisse ouvert les ports utilisés par certains jeux et marqués comme tel par orange.
Sinon ne pas oublier que le "pro" (comme chez sfr d'ailleurs) est juste un ajout d'un marketeux à deux balles et que l'abo est bien grand public. Sinon c'est xxx entreprise (et dans mon cas c'est plus cher, ça n'offre pas les mêmes services et comme les ports ouverts en "pro" ne sont pas tous proxifiés aucune raison de changer).
Le Tue, 11 Apr 2006 10:21:49 +0000, Eric Belhomme a écrit :
Inversement en grps via orange par exemple, sur un forfait grand public
-orange "pro" pour ne pas le nommer- le 22/tcp n'est pas accessible.
le port 22 est bloqué sur un forfait pro ??? Décidément y'a pas à dire
: chez FT ils ont l'art et la manière de pousser leur clientèle chez la
concurence...
Au mois de décembre c'était encore le cas. Comme j'active le vpn dès
que je suis connecté je n'ai plus regardé despuis.
Le pire (et c'est pour ça que ton post a passé la modération :) ) c'est
que comme le 23/tcp est ouvert ça doit bien en pousser quelques un a
ouvrir le service "naturel" la dessus :( (oui oui, il y a encore des
telnet dans la nature).
Le côté amusant (pour moi ridicule) de la chose c'est que le "pro"
laisse ouvert les ports utilisés par certains jeux et marqués comme tel
par orange.
Sinon ne pas oublier que le "pro" (comme chez sfr d'ailleurs) est juste un
ajout d'un marketeux à deux balles et que l'abo est bien grand public.
Sinon c'est xxx entreprise (et dans mon cas c'est plus cher, ça n'offre
pas les mêmes services et comme les ports ouverts en "pro" ne sont pas
tous proxifiés aucune raison de changer).
Le Tue, 11 Apr 2006 10:21:49 +0000, Eric Belhomme a écrit :
Inversement en grps via orange par exemple, sur un forfait grand public -orange "pro" pour ne pas le nommer- le 22/tcp n'est pas accessible.
le port 22 est bloqué sur un forfait pro ??? Décidément y'a pas à dire : chez FT ils ont l'art et la manière de pousser leur clientèle chez la concurence...
Au mois de décembre c'était encore le cas. Comme j'active le vpn dès que je suis connecté je n'ai plus regardé despuis.
Le pire (et c'est pour ça que ton post a passé la modération :) ) c'est que comme le 23/tcp est ouvert ça doit bien en pousser quelques un a ouvrir le service "naturel" la dessus :( (oui oui, il y a encore des telnet dans la nature).
Le côté amusant (pour moi ridicule) de la chose c'est que le "pro" laisse ouvert les ports utilisés par certains jeux et marqués comme tel par orange.
Sinon ne pas oublier que le "pro" (comme chez sfr d'ailleurs) est juste un ajout d'un marketeux à deux balles et que l'abo est bien grand public. Sinon c'est xxx entreprise (et dans mon cas c'est plus cher, ça n'offre pas les mêmes services et comme les ports ouverts en "pro" ne sont pas tous proxifiés aucune raison de changer).
