Re: Faire tourner sshd sur un autre port que 22

[mouss <mouss@ml.netoyen.net>]

Le 19/12/2010 22:36, Vincent Lefevre a écrit :
> On 2010-12-19 18:15:02 +0100, mouss wrote:
>> on peut aussi activer plusieurs ports dans sshd_config:
>>
>> Port 22
>> Port ABCDE
>>
>> et n'autoriser le port 22 qu'à partir de certaines IPs (avec iptables ou
>> autre). ça a l'avantage de ne pas devoir modifier les scripts qui 
utilisent
>> ssh à partir de certaines machines (rsync par exemple).
>
> Pas besoin de modifier les scripts quand on change de port: il suffit
> de modifier le .ssh/config, et cela une fois pour toutes.
>

c'est vrai. disons alors pour des programmes/applis qu'on ne veut pas 
trop toucher. même si je n'en ai aucune en tête à cet instant... (je 
pense à une appli windows qui n'utilise pas de .ssh/config. elle devrait 
en principe avoir un moyen de configurer le port, mais je me dis que le 
pire existe ;-p)

Le 20/12/2010 10:00, bernard.schoenacker@free.fr a écrit :
> et pour augmenter le niveau de sécurité, pourquoi ne pas penser
> à mettre le port knockin en place ?

cf message original de Stéphane en ce qui concerne le "toquage" et 
"knockd". ça se fait, si on considère que la complexité que ça ajoute 
est rentable par rapport à la sécurité que ça donne. je n'en suis pas 
convaincu (mais je ne demande qu'à l'être!).

si je devais l'implémenter, je mettrais une page web en ssl avec 
authentification et ce serait elle qui se connecterait aux ports (en 
local host). c'est plus simple de dire à quelqu'un de s'authentifier sur 
une page web et de taper un secret (la séquence ou autre...). en plus, 
si le service web est sur la même machine, alors a pu problème de sniff. 
(on pourrait régler le problème même si le serveur web est ailleurs, 
mais ça devient trop compliqué pour être bien).


> http://fr.wikipedia.org/wiki/Port_knocking
>
>
> slt
> bernard