Re: interdire accès SSH
On 2012-05-11 13:45:53 +0200, Sébastien NOBILI wrote:
> Le simple fait de changer le port d'écoute du serveur SSH (directive « Port »
> dans /etc/ssh/sshd_config) te protégera de ce genre d'attaque. Ça n'empêchera
> pas en théorie ce genre de tentatives d'intrusions, mais dans la pratique si.
Mais il y a des endroits où les ports "non standard" sont filtrés.
J'avais dû ainsi utiliser le port 443 (habituellement https), libre
sur ma machine. Maintenant, les derniers problèmes que j'avais
remarqués, ça devait être en 2004. La politique des sites a peut-être
évolué...
> L'inconvénient c'est que les commandes SSH de connexion au serveur sont plus
> compliquées (il faut lui indiquer le numéro de port).
Pas vraiment: il suffit de se créer une config ".ssh/config".
D'ailleurs, c'est intéressant de le faire même si on ne change
pas de port. Par exemple:
Host home
HostKeyAlias le_fqdn
Hostname le_fqdn
Port le_port
User l_utilisateur
avec éventuellement d'autres options (StrictHostKeyChecking yes,
ForwardX11 no, etc.). Il suffit alors d'un "ssh home", "scp home:...",
etc.
> Personnellement ça fait pas loin de dix ans que je fonctionne comme
> ça et je suis passé d'une centaine de tentatives toutes les vingt
> minutes à … 0 !
Idem. J'ai aussi fail2ban sur mes machines.
--
Vincent Lefèvre <vincent@vinc17.net> - Web: <http://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)
Reply to: