Page 1 sur 1
[sshd] risque
Publié : lun. 14 août 2006, 13:50
par Al1
Bonjour
J'inaugure je crois le forum avec le 1er message il me semble bien
Ma question traitera de sshd
Je voudrais savoir si il est "risqué" de laisser ce daemon tourner ???
Je parle du point de vue sécurité bien sur
J'attends vos avis sur la question
Publié : lun. 14 août 2006, 21:45
par wain
Je pense que pour limiter les risques, il faut dans la mesure du possible remplir le fichier /etc/hosts.allow, en y mettant toutes les adresses autorisées (à condition qu'elles soient fixes)
exemple:
Code : Tout sélectionner
# /etc/hosts.allow
#
sshd: 127.0.0.1, 68.224.71.112, pcduptitfrere, pcducousin
Pour rappel, on peu définir les noms "pcdupritfrere" et "pcducousin" dans le fichier /etc/hosts.
Ensuite il faut bloquer tout le reste grâce à la ligne
du fichier /etc/hosts.deny
Il faut biensûr disposer d'un bon mot de passe et interdire les connexions en root (
"PermitRootLogin no" dans
/etc/ssh/sshd_config)
Si le firewall le permet, il est plus sage de n'autoriser que les connexions provenant de certaines adresses IP, et pourquoi pas entre certaines tranches horaires. (Mon routeur Dlink n'autorise que les connexions depuis l'entreprise où je travaille du lundi au vendredi, et de 8h à 19h seulement
)
Si on n'a pas d'autre choix que d'autoriser toutes adresses IP à se connecter, mieux vaut avoir un très très bon mot de passe, et un système anti brute force (voir sshdfilter sur AUR).[/quote]
Publié : mar. 15 août 2006, 15:21
par vincentxavier
Juste un doute: /etc/hosts.deny est-il bien execute avant /etc/host.allow ?
Normalement, je pense que ca peut se configurer, mais la politique par defaut est on interdit tout sauf quelaues trucs !
J'aurais donc donne les informations dasn l'autre sens
Publié : mer. 16 août 2006, 00:02
par wain
C'est bien ça. On interdit tout d'abord et on autorise le minimum ensuite.
Publié : mer. 16 août 2006, 11:48
par Al1
Ah ok
Merci pour ces complements d'information
Effectivement comme cela il n'ya aucun probleme a laisser les daemon tourner
Merci encore
Publié : mer. 16 août 2006, 13:04
par chipster
Je pense qu'il est aussi important d'avoir un firewall ce qui limite aussi les problèmes avec dhcp
Publié : mer. 16 août 2006, 16:37
par Al1
Salut Chipster
Oui un firewall ou bien comme moi tout simplement avec un routeur
Publié : sam. 16 sept. 2006, 13:59
par chipster
Al1 a écrit :Salut Chipster
Oui un firewall ou bien comme moi tout simplement avec un routeur
Oui aussi mais un firewall en plus ne fait pas de mal surtout si ton routeur est une box (live, 9, free)