Re: Faire tourner sshd sur un autre port que 22

To: debian-user-french@lists.debian.org
Subject: Re: Faire tourner sshd sur un autre port que 22
From: Daniel Huhardeaux <no-spam@tootai.net>
Date: Fri, 17 Dec 2010 14:15:43 +0100
Message-id: <[🔎] 4D0B627F.1020507@tootai.net>
Reply-to: no-spam@tootai.invalid
In-reply-to: <[🔎] 20101217130017.GA31515@nic.fr>
References: <[🔎] 20101217130017.GA31515@nic.fr>

Bonjour

Le 17/12/2010 14:00, Stephane Bortzmeyer a écrit :

http://www.bortzmeyer.org/sshd-port-alternatif.html

----------------------------


La plupart des serveurs et routeurs connectés à l'Internet ont un
serveur SSH qui écoute sur le port 22 pour permettre l'accès à distance
et l'administration de la machine. Très souvent, des attaques
automatiques sont lancées contre ces machines. Même si elles échouent,
elles remplissent les journaux et déclenchent des alarmes inutiles. Je
recommande personnellement de ne jamais faire tourner le serveur SSH
sur le port 22.


Cela fait des années que j'applique cette règle et ne m'en porte que mieux

[...]
Certaines personnes pensent que changer de port va leur compliquer la
vie à eux aussi, en les obligeant à indiquer le numéro de port à chaque
commande SSH, par exemple à taper ssh -p 42666 mon-serveur au lieu de
ssh mon-serveur. Mais non ; OpenSSH permet de mettre le numéro de port
une fois pour toutes dans le fichier ~/.ssh/config :

Host mon-serveur
   Port 42666


Tout à fait. Mais attention, cela ne fonctionne pas avec scp

[...]

Existe-t-il d'autres méthodes pour contrarier ce genre d'attaquants ?
Oui, bien sûr, on peut restreindre l'accès à SSH par adresse IP source.
Cela se fait souvent sur les routeurs, qu'on n'administre que depuis le
réseau interne, mais ce n'est pas toujours possible pour les serveurs,
il faut bien pouvoir se connecter à distance. Il y a aussi la
possibilité de faire du « toquage à la porte » avec un logiciel comme
knockd ou avec une solution plus simple
(http://www.debian-administration.org/articles/268). Encore une autre
solution est d'utiliser fail2ban mais je ne l'ai personnellement pas
encore tenté. En sécurité, les solutions les plus simples et les moins
fatigantes sont souvent les meilleures.

Fail2ban est parfait pour bloquer ce genre d'attaques. Il ne faut pasoublier que certains services se doivent de tourner sur le port qui leurest défini (IAX, SIP, H323, ...). Fail2ban est alors le compagnonindispensable. Combien de serveurs VOIP sont attaqués et ce avecréussite, la légèreté de programmation des règles du dialplan et de ladéfinition des clients étant dans la très grande majorité des casresponsable de la cette réussite.


--
Daniel

Reply to:

Follow-Ups:
- Re: Faire tourner sshd sur un autre port que 22
  - From: Stephane Bortzmeyer <stephane@sources.org>

References:
- Faire tourner sshd sur un autre port que 22
  - From: Stephane Bortzmeyer <stephane@sources.org>

Prev by Date: Re: Écrasement de la table de partition d'un disque USB
Next by Date: Re: Écrasement de la table de partition d'un disque USB
Previous by thread: Faire tourner sshd sur un autre port que 22
Next by thread: Re: Faire tourner sshd sur un autre port que 22
Index(es):
- Date
- Thread