Daniel Caillibaud wrote:
Le 26/08/13 à 17:08, honeyshell<honeyshell@honeyshell.com> a écrit : H> Je te joints à ce mail mon tuto pour l'installation/configuration de ssh, H> ainsi que l'installation de Fail2Ban. H> Avec cette configuration tu seras à l'abris des "boots" qui tentent de H> détecter les accès SSH peu sécurisés (mot de passe en root uniquement) sur H> le port 22. Le plus simple (et secure) reste quand même d'interdire l'accès par mot de passe (n'autoriser que ta clé, qui elle a une passphrase).
Certes, mais cela oblige aussi de faire confiance à la machine hôte. Lorsque je suis chez un client, je ne fais pas confiance à sa machine a priori. Je ne lui donne donc pas ma clef.
Pas besoin de se poser de question sur la solidité du pass (sinon celui de la clé) ni de savoir si fail2ban ou le portknocking est efficace (ils me paraissent sans aucun intérêt avec "PasswordAuthentication no") . Et pas besoin non plus de changer le port ssh (cacher la porte ne la rend pas mieux blindée, c'est de l'illusion de sécurité).
Avec un ssh qui évite le compte root, un fail2ban bien configuré et des mots de passe un tant soit peu complexes, on évite déjà pas mal de problèmes.
Cordialement, JKB