Re: Conseils sur la sécurisation de ses accès par SSH
Le 11/04/2016 16:07, afrinc a écrit :
> Le 11/avril - 15:14, honeyshell a écrit :
>> Dans le cas d'une passphrase heureusement fail2ban fait le travail.
>> D'un point de vue sécurité je n'imagine pas ssh sans passphrase.
>>
>> Je ne sais pas si il existe un script qui avertit par mail en cas
>> d'échec répétitifs détectés par Fail2ban sur la passphrase?
>>
>> Un script qui avertirait par mail en cas d'une connexion via une IP
>> non connue serait aussi intéressant? (bien sûr brider les IP serait la
>> solution idéale)
>
> Brider les IPs…
>
> Du genre en préfixant la clef dans ~/.ssh/authorized_keys d'un :
> from="123.45.67.89"
>
> cf : man authorized_keys, section AUTHORIZED_KEYS FILE FORMAT
>
> Cette méthode fonctionne bien sûre que sur les IPs fixe, et donc ne sert
> à rien dans le cas d'un besoin d'accès "nomade" au serveur SSH.
>
Pour le cas des nomades ou accès extérieurs, il y a la solution du
VPN/tunnel ou d'un serveur intermédiaire. Dans le dernier cas, il y a
plusieurs solution:
- config ssh ProxyCommand : https://wiki.gentoo.org/wiki/SSH_jump_host
- Logiciel dédié qui gère l'accès selon groups,heure,etc...
Dans le cas du serveur intermédiaire, les clés ne sortent pas de
l'entreprise et seul le serveur intermédiaire est exposé.
--
EON Vincent
http://www.lws.fr
----------------------------------------------
Siége social:
LIGNE WEB SERVICES
4, RUE GALVANI
75017 PARIS - FRANCE
-----------------------------------------------
Ce message et toute pièce jointe sont confidentiels et doivent être
protégés contre toute divulgation. Si vous n'êtes pas le destinataire de
ce message, merci de téléphoner ou d'envoyer un email à l'expéditeur, et
de détruire ce message et toute pièce jointe.
Reply to: