Jean-Michel OLTRA a écrit :
Euh, SSH n'a pas déjà assez de moyens d'authentification (mot de passe, passphrase, certificat...) pour se passer de ce genre de mesure ? Il craint quoi l'admin, des failles dans SSH ?Je suppose qu'il craint qu'un script trouve un mot de passe sur un compte qui possède un accès ssh. Le compte root certainement.
C'est pour ça que j'ai mentionné d'autres méthodes d'authentification que le mot de passe. Quand bien même, avec des mots de passe forts et pas du style "toto" ou "admin", on ne risque pas grand chose des attaques par dictionnaire ou force brute. Et on peut désactiver le login root par SSH.
Quant au failles de SSH, il y en a eu, et il y en aura encore. Mais combien d'exploits en 0-day ? Les mises à jour de sécurité sont là pour ça.
Qui permettrait quoi exactement ? De faire du "port knocking" ?
Un truc comme ça. A partir de la possibilité donnée par yoann (envoi de mail + ip + timeout sur iptables) à laquelle j'avais pensé (mais je n'avais pas envisagé le chiffrement). Le seul truc c'est que si ça n'existe pas, il faut le coder.
Il y a bien le paquetage knockd, mais il ne fait pas d'authentification, et est vulnérable au rejeu, sauf à utiliser des séquences à usage unique (mais j'ai peur que ça ne se prête pas bien à un usage par plusieurs utilisateurs).
La possibilité host + dyndns + iptables n'est pas mal non plus.
Oui, comme le port knocking ça permet au moins d'éviter les scans de ports et une grande partie des attaques automatisées.