Re: Conseils serveur web Debian
Le 8 février 2011 13:08, FROIDURE Nicolas <froidure_nicolas@yahoo.fr> a écrit :
>
> Re-bonjour,
Hello
> A la relecture de chacun de vos messages, je viens d'avoir une idée par
> rapport au problème soulevé par Kevin. Je peux peut-être utiliser le port 21
> à la place du 22 pour le SSH de mon serveur. De cette façon, je fais d'une
> pierre deux coups : j'évite les scans du port 22 et je reste compatible avec
> les firewall d'entreprise. Vu je je compte pas mettre de serveur FTP, ça se
> tient non ? Des contre-indications à cette stratégie ?
>
> ++
Tu éviteras la plupart des scans sauvages cherchant les ports par
défaut mais un scan assez intelligent repère ça vite :
Exemple, je fais tourner mon sshd sur le port 21 :
# netstat -tlnp | grep 21
tcp 0 0 0.0.0.0:21 0.0.0.0:*
LISTEN 6020/sshd
tcp6 0 0 :::21 :::*
LISTEN 6020/ssh
Hop je scan avec un outil de base disponible partout :
$ nmap -sV 127.0.0.1
Starting Nmap 5.00 ( http://nmap.org ) at 2011-02-08 14:36 CET
Interesting ports on localhost (127.0.0.1):
Not shown: 991 closed ports
PORT STATE SERVICE VERSION
21/tcp open ssh OpenSSH 5.5p1 Debian 6 (protocol 2.0)
Tu peux même faire le test avec un simple telnet :
$ telnet 127.0.0.1 21
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
SSH-2.0-OpenSSH_5.5p1 Debian-6
;)
Bref c'est pas parfait non plus, juste un peu mieux mais ça peut aussi
se gérer avec d'autres solutions :
* fermetures automatiques des ports en cas de forcing
* ou même ouverture temporaire via une interface web par exemple.
* ou encore ouverture dynamique avec du port-knocking
Tout dépend de ton degré de paranoïa.
--
Kévin
Contributeur Mozilla
Membre de l'April - « promouvoir et défendre le logiciel libre » -
http://www.april.org
http://identi.ca/khi - http://twitter.com/kh_i - http://system-linux.eu
Reply to: