Re: ssh, high port et charge du serveur

[Pascal Hambourg <pascal.news@plouf.fr.eu.org>]

Salut,

jdd a écrit :
> Bonjour,
> Dans la configuration d'un serveur, j'ai vu recommander d'utiliser un
> port différent du port par défaut pour sécuriser la liaison ssh.

Bof. Je suis contre par principe.

> Je me pose des questions.
>
> * si c'est vraiment plus sûr, pourquoi n'est-ce pas conseillé dans la
> doc ssh? ou bien je ne l'ai pas vu?

Ce n'est ni plus ni moins que de la sécurité par l'obscurité, 
complètement à l'opposé de la philosophie de SSL et SSH basée sur un 
standard ouvert et des ports standard.

> * pour peu que le mot de passe ne soit pas trop évident, une attaque
> "dictionnaire" de ssh a-t-elle vraiment des chances d'aboutir?

Pour faire court : non.
Avec des mots de passe solides, AMA le seul véritable risque des 
attaques automatiques par force brute ou au dictionnaire est d'inonder 
les logs, noyant dans la masse les vraies attaques ciblées et 
dangereuses qui peuvent ainsi passer inaperçues.

> Or une discussion récente m'a laissé entendre
> qu'une tentative de connection sur un port fermé (c'est à dire non
> ouvert?) est aussi sinon plus pénalisante pour le système qu'une
> connection sur le parefeu correctement configurée.

La différence est négligeable, à moins d'un flood (mais dans ce cas il 
risque d'y avoir d'autres soucis).
- Port fermé : la couche TCP du noyau renvoie un RST.
- Port filtré : le pare-feu inséré dans la couche IP du noyau renvoie un 
RST, une erreur ICMP ou rien du tout (c'est mal).

-----------------------------------------------------------------
Les listes de diffusion du CULTe - Pour une informatique libre
http://www.CULTe.org/listes/
Pour se desabonner:
mailto:linux-31-unsubscribe@CULTe.org?subject=Cliquez_sur_ENVOYER