Bonjour.
Je m'essaie depuis peu à la sécurité, et je voudrais poser une question car je ne comprends pas quelque chose.
J'ai ouvert un port sur ma free box, et j'ai fait une redirection de port grâce à son routeur vers mon ordinateur personnel.
Si je ne m'abuse, la free box ne propose que l'ouverture simple d'un port, si on veut par exemple faire tourner un serveur ssh sur un ordinateur perso et y accéder depuis internet.
Donc bon, déjà j'aurais voulu savoir si c'était grave d'avoir ce port là, sur ma free box, totalement ouvert.
Ensuite, sur mon ordinateur perso, j'ai lancé un serveur ssh. Mais là aussi si je fais ça, un de mes ports est totalement ouvert, en état d'écoute. Est-ce que là aussi, ça pose un problème d'avoir ce port ouvert ?
Je voudrais aussi savoir si un port auquel on veut se connecter doit nécessairement être ouvert et en écoute.
Voilà, j'avance petit à petit dans ma compréhension, et j'aurais besoin de votre aide pour les points que je ne comprends pas.
Bien à vous.
[ssh, sécurité] Port visible
Re: [ssh, sécurité] Port visible
Salut,
J'ai également un serveur ssh qui tourne en permanence à la maison depuis près de 3 ans. Je ne suis pas un pro de la sécurité informatique mais voilà ce que j'ai fait.
D'abord j'ai changé le port d'écoute qui est par défaut le 22. Mais on peut bien sûr quand même trouver le port qui est ouvert en scannant. Cela dit, la redirection sur ce port se fait vers le serveur ssh, et pas ailleurs. De toute façon si tu veux te connecter, il te faut effectivement un port ouvert et en écoute.
Ce qu'il faut c'est donc sécuriser l'accés au serveur pour ne pas que quelqu'un puisse s'introduire dans le réseau local. Personnellement, j'ai trouvé que le système login + password était un peu léger. Je l'ai donc désactivé dans la configuration du serveur et je n'ai laissé que la possibilité d'une authentification par clé cryptée, la clé étant elle même protégée par un mot de passe au cas où on me la vole.
De plus j'ai interdit également la connexion en root.
Enfin, j'ai paramétré denyhost (fail2ban peut faire la même chose) afin qu'une série de 5 tentatives échouées de connexion, en raison d'une attaque, entraine le banissement de l'IP en cause (je peux comptabiliser environ 20 à 30 tentatives d'intrusion, la plupart du à des PC zombies, par mois !).
En faisant tout ça, je n'ai jamais eu de soucis. Mais le risque zéro n'existe pas.
Bon, j'ai peut être tendance à être un peu parano...
J'ai également un serveur ssh qui tourne en permanence à la maison depuis près de 3 ans. Je ne suis pas un pro de la sécurité informatique mais voilà ce que j'ai fait.
D'abord j'ai changé le port d'écoute qui est par défaut le 22. Mais on peut bien sûr quand même trouver le port qui est ouvert en scannant. Cela dit, la redirection sur ce port se fait vers le serveur ssh, et pas ailleurs. De toute façon si tu veux te connecter, il te faut effectivement un port ouvert et en écoute.
Ce qu'il faut c'est donc sécuriser l'accés au serveur pour ne pas que quelqu'un puisse s'introduire dans le réseau local. Personnellement, j'ai trouvé que le système login + password était un peu léger. Je l'ai donc désactivé dans la configuration du serveur et je n'ai laissé que la possibilité d'une authentification par clé cryptée, la clé étant elle même protégée par un mot de passe au cas où on me la vole.
De plus j'ai interdit également la connexion en root.
Enfin, j'ai paramétré denyhost (fail2ban peut faire la même chose) afin qu'une série de 5 tentatives échouées de connexion, en raison d'une attaque, entraine le banissement de l'IP en cause (je peux comptabiliser environ 20 à 30 tentatives d'intrusion, la plupart du à des PC zombies, par mois !).
En faisant tout ça, je n'ai jamais eu de soucis. Mais le risque zéro n'existe pas.
Bon, j'ai peut être tendance à être un peu parano...
-
benjarobin
- Maître du Kyudo
- Messages : 17632
- Inscription : sam. 30 mai 2009, 15:48
- Localisation : Lyon
Re: [ssh, sécurité] Port visible
Si tu choisis comme port d'écoute le 22 alors tu risques juste d'être la cible de robots qui vont essayer de rentrer dans ton ordinateur : Souvent l'attaque est faite par dictionnaire sur les mots de passe.
Le fait de choisir un autre port permet d'éviter les robots, mais en aucun cas un humain qui désire absolument te pirater.
Sinon point très important c'est interdire la connexion en root car il ne reste plus qu'a deviner le mot de passe... Le mieux c'est de désactiver le mot de passe et d'utiliser une clé
Edit: Un peu grillé
Le fait de choisir un autre port permet d'éviter les robots, mais en aucun cas un humain qui désire absolument te pirater.
Réponse courte oui, réponse longue: Non, mais beaucoup plus compliqué à mettre en place, si tu utilises le portknockingJe voudrais aussi savoir si un port auquel on veut se connecter doit nécessairement être ouvert et en écoute.
Sinon point très important c'est interdire la connexion en root car il ne reste plus qu'a deviner le mot de passe... Le mieux c'est de désactiver le mot de passe et d'utiliser une clé
Edit: Un peu grillé
Zsh | KDE | PC fixe : AMD Ryzen 9900X, Radeon RX 7700 XT
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Re: [ssh, sécurité] Port visible
@benjarobin,
Pas tant grillé que ça : j'avais zappé le portknocking. Merci pour l'info
. Dès que j'ai un peu de temps j'irai bidouiller ça sur mon serveur.
Pas tant grillé que ça : j'avais zappé le portknocking. Merci pour l'info
. Dès que j'ai un peu de temps j'irai bidouiller ça sur mon serveur.Re: [ssh, sécurité] Port visible
Ok, merci à vous.
J'avais déjà fait ce que vous préconisez pour les clés, l'utilisateur root et les tentatives de mot de passe.
J'ai suivi ce tuto de Korben quand j'avais mis en place mon serveur. J'ai laissé l'authentification par mot de passe par contre, en limitant le nombre de tentatives à 2.
Ça a l'air super cool le portknocking, je vais regarder ça. Est-ce que Netfilter supporte ça ?
Ok, donc ce que je dois retenir, c'est que "traditionnellement", un port doit être ouvert pour qu'on puisse s'y connecter. Merci.
J'avais déjà fait ce que vous préconisez pour les clés, l'utilisateur root et les tentatives de mot de passe.
J'ai suivi ce tuto de Korben quand j'avais mis en place mon serveur. J'ai laissé l'authentification par mot de passe par contre, en limitant le nombre de tentatives à 2.
Ça a l'air super cool le portknocking, je vais regarder ça. Est-ce que Netfilter supporte ça ?
Ok, donc ce que je dois retenir, c'est que "traditionnellement", un port doit être ouvert pour qu'on puisse s'y connecter. Merci.
Re: [ssh, sécurité] Port visible
Pourquoi tu laisses le login+pswd si tu utilises une clé ?
Re: [ssh, sécurité] Port visible
Simplement parce que quand t'as besoin de te connecter à ton pc qui est chez toi, c'est que tu es en galère, le plus souvent, et que tu n'as pas installé de clé sur le terminal que tu as à disposition. Par exemple récemment, je me suis mailé un document super important, après m'être connecté en ssh, avec mon iphone...
Re: [ssh, sécurité] Port visible
Il n'y a pas connectbot sur iPhone ? C'est ce que j'utilise sur mon smartphone android et ça permet de se connecter en ssh en utilisant une clé.