Re: Authentification failure

To: Daniel Caillibaud <ml@lairdutemps.org>
Cc: Liste Debian <debian-user-french@lists.debian.org>
Subject: Re: Authentification failure
From: Florian Blanc <florian.blanc.adm@gmail.com>
Date: Thu, 6 Jun 2019 16:51:01 +0200
Message-id: <[🔎] CAAjVk6-Q_muevzA3x4zJwCnZ-owwyEQW4VUBeLONEESudGPkxA@mail.gmail.com>
In-reply-to: <[🔎] 20190606154448.22b422d0@quad>
References: <[🔎] 20190605063213.pyius6lkgmfudv5d@paros.maison.mrs> <[🔎] 0fcebff3-1e65-1f09-4b42-f684f76740af@yahoo.fr> <[🔎] 20190605113338.wkijgqnp5gzvabg7@paros.maison.mrs> <[🔎] be067395-d3b9-338d-38a6-6224c092edfa@yahoo.fr> <[🔎] ADB25130-196D-448E-AC00-0E97553EBA61@teledetection.fr> <[🔎] 20190606090933.7c185adc@quad> <[🔎] 0CF8F4F0-6D69-4634-ABBD-72E6F9A28EEA@teledetection.fr> <[🔎] CAEUKC0iRw20sj86U_G+gavDaOG8+8QkkRQSwawYdXK+HUqFysQ@mail.gmail.com> <[🔎] 20190606154448.22b422d0@quad>

Bon je vais vous livrer un petit secret.

J'utilise des noip qui mettent à jour mon ip public cliente sur un dns.

Sur mon script principal iptables je crée une chain qui s'appelle INDYNAMIC à partir de INPUT:

/sbin/iptables -A INPUT -j INDYNAMIC

Ensuite j'ai un second script iptables pour écraser mes regles dynamique comme ceci:

/sbin/iptables -F INDYNAMIC # ici je flush

/sbin/iptables -A INDYNAMIC -m tcp -p tcp --src lolilol.dyndnsnoiplalala.io --dport 22 -j ACCEPT # j'autorise lolilol.dyndnsnoiplalala.io sur le port 22 (il fait la résolution comme un grand).

je crontab ce dernier script qui s'execute toutes les x minutes (20 par exemple).

tu le combine à fail2ban et c'est bon.

Le jeu. 6 juin 2019 à 15:45, Daniel Caillibaud <ml@lairdutemps.org> a écrit :

Le 06/06/19 à 10:31, Arnaud Gambonnet <arnaud.gambonnet@gmail.com> a écrit :
> Bonjour la liste,
>
> Je n'ai pas lu en détails le fil, mais pour protéger les demandes
> intempestives de connexions ssh (et d'autres si besoin), il existe la
> solution de port knocking.

Pourquoi faire (compliqué) ?

> Ce qui n’empêche pas de mettre en place une authentification par
> certificat et fail2ban pour les services moins sensibles.

Au contraire, auth par certif pour tous les serveurs, sensibles ou pas, et
plus besoin de port knocking ni port exotique ni fail2ban, on peut rester
sur du standard avec ssh sur le port 22 qui fonctionne comme attendu.

--
Daniel

On devient jeune à soixante ans.
Malheureusement c'est trop tard.
Pablo Picasso

Reply to:

Follow-Ups:
- Re: Authentification failure
  - From: Daniel Caillibaud <ml@lairdutemps.org>

References:
- Authentification failure
  - From: steve <dlist@bluewin.ch>
- Re: Authentification failure
  - From: Yahoo <lo.soulas@yahoo.fr>
- Re: Authentification failure
  - From: steve <dlist@bluewin.ch>
- Re: Authentification failure
  - From: Yahoo <lo.soulas@yahoo.fr>
- Re: Authentification failure
  - From: Pierre Malard <plm@teledetection.fr>
- Re: Authentification failure
  - From: Daniel Caillibaud <ml@lairdutemps.org>
- Re: Authentification failure
  - From: Pierre Malard <plm@teledetection.fr>
- Re: Authentification failure
  - From: Arnaud Gambonnet <arnaud.gambonnet@gmail.com>
- Re: Authentification failure
  - From: Daniel Caillibaud <ml@lairdutemps.org>

Prev by Date: Re: Authentification failure
Next by Date: Re : Re: [HS] GAFAM est devenu GAFA
Previous by thread: Re: Authentification failure
Next by thread: Re: Authentification failure
Index(es):
- Date
- Thread