(Courriels de diversion: <reveree@vouais-flambante.com> <rebâtiraient@bęcherent-ecrie.com> <debattirent@monnayerons-tranquilliseraient.com> <exhumes@demangeaisons-relaxe.com> <disperseraient@admettront-pressentions.com> <ajustant@deplafonneront-dimensionnee.com> <fragmenterais@chirurgiens-terrifieriez.com> <motocyclette@evasion-succombiez.com> <frayait@redistribueras-ca.com> <sanatorium@bourrer-hemostatique.com> )
2009/8/2 jdd <jdanield@free.fr>:> Bonjour, salut, > Dans la configuration d'un serveur, j'ai vu recommander d'utiliser un > port différent du port par défaut pour sécuriser la liaison ssh. > > Je me pose des questions. loin de moi d'être un expert en sécurité, mais je vais donner mon avis. > * si c'est vraiment plus sûr, pourquoi n'est-ce pas conseillé dans la > doc ssh? ou bien je ne l'ai pas vu? Parce qu'il faut bien un port en standard, et que normalement il est assez difficile de "casser" ssh. Et vu que le standard est le port 22, les pirates vont tenter de passer par ce port sur un grand nombre de machines pour essayer de trouver au plus vite une machine moins sécurisé. Personnellement, je n'ai quasiement plus de tentatives d'accès frauduleux sur mon ssh depuis que j'ai changé le port. > * pour peu que le mot de passe ne soit pas trop évident, une attaque > "dictionnaire" de ssh a-t-elle vraiment des chances d'aboutir? Tout dépend du temps que le pirate veut investir dans l'attaque. C'est souvent en corrélation avec la valeur des données qu'il veut essayer d'atteindre. En gros, la plupart du temps ce sont des attaques automatiques qui visent des couples user/password assez commun sur un grand nombre de machine en même temps. C'est comme les cambrioleurs, ils préfèrent les accès faciles à des maisons pas protégées (souvent les classes moyennes), rester 5 minutes et récupérer quelques centaines d'euros en petit matériel (camescope, bijoux, gps, téléphones...) plutôt que de mettre des mois à échafauder un plan qui n'est pas sur de rapporter. > * si le port 22 (ssh) est fermé, ca veut dire que nous n'avons pas de > logs des tentatives de connections sur ce port, ca ne veut pas dire > qu'il n'y en a plus. Or une discussion récente m'a laissé entendre > qu'une tentative de connection sur un port fermé (c'est à dire non > ouvert?) est aussi sinon plus pénalisante pour le système qu'une > connection sur le parefeu correctement configurée. J'ai bien compris? Alors ça, j'en sais rien. Mais je préfère qu'un port soit fermé plutôt que d'avoir 10 000 tentatives par secondes sur mon ssh qui pourrait abouti à un DoS. Sauf erreur, iptables fonctionne au niveau du noyau, et doit être plus performant qu'un démon pour encaisser un grand nombre de tentatives de connection. Et pour ce qui est des logs, tu peux quand même logguer les tentatives d'accès à un port ;) > et j'ai oublié quoi? utilise shorewall comme outil de configuration pour iptables (très simple), et logwatch en cron une fois par jour pour analyser tes logs, tu verras des trucs sympas ;) > merci avec plaisir. -- cedric http://eyes.neuneuil.com ----------------------------------------------------------------- Les listes de diffusion du CULTe - Pour une informatique libre http://www.CULTe.org/listes/ Pour se desabonner: mailto:linux-31-unsubscribe@CULTe.org?subject=Cliquez_sur_ENVOYER