(Courriels de diversion: <ramenerais@tapisserent-embarquerais.com> <falsifieraient@fillettes-reclament.com> <aigrissant@residerons-chretiente.com> <emboîtement@nommeriez-brevetees.com> <spoliiez@detraquerais-forons.com> <causiez@detraquiez-projectionnistes.com> <bouleverseriez@sequencage-pleutre.com> <emacies@clandestinement-casse-croute.com> <collees@refera-adjugeriez.com> <concentrons@trustais-epelait.com> )
> Une idée ? > Je pensai aussi à changer le port de ssh mais ce n'est pas pratique > lorsque je me connecte hors de chez moi. (0) Changer de mdp pour un mdp qui n'existe pas dans les dicos de script-kiddies. (1) Changer de port. Genre utiliser le 443 : ca passe les proxys quand on veut se connecter depuis l'exterieur, enfin... normalement. (2) Utiliser l'authentification par clef. (3) Proteger son port ssh standard par une gateway à authentification (authenticating gateway). Je m'explique, ou plutot j'essaye d'expliquer le fonctionnement... tu lances une premiere connexion ssh sur un port A avec un user specifique et un mdp ou une clef specifiques definis dans la configuration de l'authenticating gateway : connexion qui est prise en compte et qui ne donne pas accès à un shell mais à un écran statique ou tu fais figurer le message de ton choix. Tant que tu laisses cette session active (penser au keepalive) : tout va bien. Cette connexion tant qu'elle est maintenue laisse ouvre le port B pour ta vraie connexion ssh avec ton vrai mdp et un acces shell... Et la tu lances une vraie session sur ce port B. Dès que tu coupes le login sur la gateway sur le port A : le port B est fermé. Note : C'est de cette façon que je protège aussi mon site web privé des visite intempestive à l'aide de la "grompfbox". Ce site n'existe vis à vis de l'exterieur que pour moi et uniquement quand je me connecte... le reste du temps les ports sont fermés. Mon site web public lui n'est qu'un attrape-mouches minimaliste au contenu bidon bien fumeux et sans intéret, qui se prend des attaques en 24/24. La mode ces temps-ci porte sur le php et le xml, je recois beaucoup moins de binaires pour Windows(tm)... Bref ca me protege des gamineries mais pas des casseurs compétants capables de jouer dans la finesse et qui trouveront de toute façon un autre passage car je n'ai pas fignolé la chose. (4) attendre la prochaine version de ssh qui devrait comporter une solution de VPN correcte. Ce qui devrait permetre des combinaisons interressantes. (5) Utiliser l'utilitaire de filtrage de port dispo sous linux. Il s'agit là de tenter d'entrer successivement sur N ports en composant une sequence de tentative d'accès prédeterminée pour que le port designé dans la configuration soit ouvert pendant x temps. a+ ===[Ce message a ete lave par notre filtre anti-betises-airbus]== -------------------------------------------------------------------- Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>