Le 08/27/2013 11:30 AM, Daniel Caillibaud a écrit :
Il est évident qu'un attaquant persévérant testera du bruteforce, c'est un principe de base logique de poser un pass strong meme avec un auth via clef publique. (les attaques peuvent aussi venir de la console physique)Le 26/08/13 à 17:08, honeyshell <honeyshell@honeyshell.com> a écrit : H> Je te joints à ce mail mon tuto pour l'installation/configuration de ssh, H> ainsi que l'installation de Fail2Ban. H> Avec cette configuration tu seras à l'abris des "boots" qui tentent de H> détecter les accès SSH peu sécurisés (mot de passe en root uniquement) sur H> le port 22. Le plus simple (et secure) reste quand même d'interdire l'accès par mot de passe (n'autoriser que ta clé, qui elle a une passphrase). Pas besoin de se poser de question sur la solidité du pass (sinon celui de la clé) ni de savoir
Evidemment qu'ils ont un interet et n'ont rien a voir avec "PasswordAuthentication no" , fail2ban et port knocking agissent avant une négo avec le serveur SSH ce sont des outils nécessaire voir indispensables, encore faut il savoir les utiliser et ne pas juste faire un apt-get install et les laisser en plansi fail2ban ou le portknocking est efficace (ils me paraissent sans aucun intérêt avec "PasswordAuthentication no") .
C'est aussi un principe de base. Il n'y a pas 1 solution à la sécurité. C'est un composé de plusieurs actions et méthodes. Si le port est modifié, l'attaquant va perdre un temps fou a catcher le port ssh et peut abandonner pour trouver une autre faille. Contruire un archi sécurisée c'est aussi se baser sur plusieurs composantes et faire perdre du temps à un attaquant est une action sécuritaire de base. Un firewall mal configuré est aussi une illusion de sécurité, donc oui modifier le port est une action qui ajoute 1+ dans toute la configuration d'une sécurisationEt pas besoin non plus de changer le port ssh (cacher la porte ne la rend pas mieux blindée, c'est de l'illusion de sécurité).