[sshd] risque

Applications, problèmes de configuration réseau
Avatar de l’utilisateur
Al1
Daikyu
Messages : 84
Inscription : sam. 12 août 2006, 22:07
Localisation : Beauvais (60)

[sshd] risque

Message par Al1 »

Bonjour

J'inaugure je crois le forum avec le 1er message il me semble bien :P

Ma question traitera de sshd
Je voudrais savoir si il est "risqué" de laisser ce daemon tourner ???
Je parle du point de vue sécurité bien sur
J'attends vos avis sur la question
Avatar de l’utilisateur
wain
Maître du Kyudo
Messages : 1854
Inscription : ven. 11 août 2006, 19:15
Localisation : Nancy (54)

Message par wain »

Je pense que pour limiter les risques, il faut dans la mesure du possible remplir le fichier /etc/hosts.allow, en y mettant toutes les adresses autorisées (à condition qu'elles soient fixes)

exemple:

Code : Tout sélectionner

# /etc/hosts.allow
#
sshd: 127.0.0.1, 68.224.71.112, pcduptitfrere, pcducousin
Pour rappel, on peu définir les noms "pcdupritfrere" et "pcducousin" dans le fichier /etc/hosts.

Ensuite il faut bloquer tout le reste grâce à la ligne

Code : Tout sélectionner

# /etc/hosts.deny
#
ALL: ALL: DENY
du fichier /etc/hosts.deny

Il faut biensûr disposer d'un bon mot de passe et interdire les connexions en root ("PermitRootLogin no" dans /etc/ssh/sshd_config)

Si le firewall le permet, il est plus sage de n'autoriser que les connexions provenant de certaines adresses IP, et pourquoi pas entre certaines tranches horaires. (Mon routeur Dlink n'autorise que les connexions depuis l'entreprise où je travaille du lundi au vendredi, et de 8h à 19h seulement ;))

Si on n'a pas d'autre choix que d'autoriser toutes adresses IP à se connecter, mieux vaut avoir un très très bon mot de passe, et un système anti brute force (voir sshdfilter sur AUR).[/quote]
Avatar de l’utilisateur
vincentxavier
Elfe
Messages : 778
Inscription : ven. 11 août 2006, 18:17
Localisation : Epinay sur Seine (93)

Message par vincentxavier »

Juste un doute: /etc/hosts.deny est-il bien execute avant /etc/host.allow ?
Normalement, je pense que ca peut se configurer, mais la politique par defaut est on interdit tout sauf quelaues trucs !
J'aurais donc donne les informations dasn l'autre sens
Warranty

THIS ADVICE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT.

En clair, je ne pourrais être tenu responsable des dégats causés par l'utilisation de mes conseils

Image
Avatar de l’utilisateur
wain
Maître du Kyudo
Messages : 1854
Inscription : ven. 11 août 2006, 19:15
Localisation : Nancy (54)

Message par wain »

C'est bien ça. On interdit tout d'abord et on autorise le minimum ensuite.
Avatar de l’utilisateur
Al1
Daikyu
Messages : 84
Inscription : sam. 12 août 2006, 22:07
Localisation : Beauvais (60)

Message par Al1 »

Ah ok
Merci pour ces complements d'information
Effectivement comme cela il n'ya aucun probleme a laisser les daemon tourner
Merci encore :D
Avatar de l’utilisateur
chipster
Maître du Kyudo
Messages : 2063
Inscription : ven. 11 août 2006, 22:25
Localisation : Saint-Étienne (42)
Contact :

Message par chipster »

Je pense qu'il est aussi important d'avoir un firewall ce qui limite aussi les problèmes avec dhcp
Avatar de l’utilisateur
Al1
Daikyu
Messages : 84
Inscription : sam. 12 août 2006, 22:07
Localisation : Beauvais (60)

Message par Al1 »

Salut Chipster

Oui un firewall ou bien comme moi tout simplement avec un routeur
Avatar de l’utilisateur
chipster
Maître du Kyudo
Messages : 2063
Inscription : ven. 11 août 2006, 22:25
Localisation : Saint-Étienne (42)
Contact :

Message par chipster »

Al1 a écrit :Salut Chipster

Oui un firewall ou bien comme moi tout simplement avec un routeur
Oui aussi mais un firewall en plus ne fait pas de mal surtout si ton routeur est une box (live, 9, free) ;)
Répondre