[sshd] risque
[sshd] risque
Bonjour
J'inaugure je crois le forum avec le 1er message il me semble bien
Ma question traitera de sshd
Je voudrais savoir si il est "risqué" de laisser ce daemon tourner ???
Je parle du point de vue sécurité bien sur
J'attends vos avis sur la question
J'inaugure je crois le forum avec le 1er message il me semble bien
Ma question traitera de sshd
Je voudrais savoir si il est "risqué" de laisser ce daemon tourner ???
Je parle du point de vue sécurité bien sur
J'attends vos avis sur la question
- wain
- Maître du Kyudo
- Messages : 1854
- Inscription : ven. 11 août 2006, 19:15
- Localisation : Nancy (54)
Je pense que pour limiter les risques, il faut dans la mesure du possible remplir le fichier /etc/hosts.allow, en y mettant toutes les adresses autorisées (à condition qu'elles soient fixes)
exemple:
Pour rappel, on peu définir les noms "pcdupritfrere" et "pcducousin" dans le fichier /etc/hosts.
Ensuite il faut bloquer tout le reste grâce à la ligne
du fichier /etc/hosts.deny
Il faut biensûr disposer d'un bon mot de passe et interdire les connexions en root ("PermitRootLogin no" dans /etc/ssh/sshd_config)
Si le firewall le permet, il est plus sage de n'autoriser que les connexions provenant de certaines adresses IP, et pourquoi pas entre certaines tranches horaires. (Mon routeur Dlink n'autorise que les connexions depuis l'entreprise où je travaille du lundi au vendredi, et de 8h à 19h seulement )
Si on n'a pas d'autre choix que d'autoriser toutes adresses IP à se connecter, mieux vaut avoir un très très bon mot de passe, et un système anti brute force (voir sshdfilter sur AUR).[/quote]
exemple:
Code : Tout sélectionner
# /etc/hosts.allow
#
sshd: 127.0.0.1, 68.224.71.112, pcduptitfrere, pcducousin
Ensuite il faut bloquer tout le reste grâce à la ligne
Code : Tout sélectionner
# /etc/hosts.deny
#
ALL: ALL: DENY
Il faut biensûr disposer d'un bon mot de passe et interdire les connexions en root ("PermitRootLogin no" dans /etc/ssh/sshd_config)
Si le firewall le permet, il est plus sage de n'autoriser que les connexions provenant de certaines adresses IP, et pourquoi pas entre certaines tranches horaires. (Mon routeur Dlink n'autorise que les connexions depuis l'entreprise où je travaille du lundi au vendredi, et de 8h à 19h seulement )
Si on n'a pas d'autre choix que d'autoriser toutes adresses IP à se connecter, mieux vaut avoir un très très bon mot de passe, et un système anti brute force (voir sshdfilter sur AUR).[/quote]
- vincentxavier
- Elfe
- Messages : 778
- Inscription : ven. 11 août 2006, 18:17
- Localisation : Epinay sur Seine (93)
Juste un doute: /etc/hosts.deny est-il bien execute avant /etc/host.allow ?
Normalement, je pense que ca peut se configurer, mais la politique par defaut est on interdit tout sauf quelaues trucs !
J'aurais donc donne les informations dasn l'autre sens
Normalement, je pense que ca peut se configurer, mais la politique par defaut est on interdit tout sauf quelaues trucs !
J'aurais donc donne les informations dasn l'autre sens
Warranty
THIS ADVICE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT.
En clair, je ne pourrais être tenu responsable des dégats causés par l'utilisation de mes conseils
THIS ADVICE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT.
En clair, je ne pourrais être tenu responsable des dégats causés par l'utilisation de mes conseils