Re: freebox revolution et ssh
Bonjour,
----- Mail original -----
> Ça ne sert strictement à rien.
Je ne serais pas aussi péremptoire : sur l'un des serveurs que j'administre, deux instances de SSH sont en écoute sur des ports différents pour des raisons techniques ; celle qui est sur le port standard est bien plus sollicitée que celle qui écoute sur un port non standard.
Par contre, je vous rejoins complètement sur l'intérêt de déployer Fail2Ban. Ce logiciel évite bien des misères, surtout depuis l'ajout du module « recidive » qui permet de bloquer durablement les bots insistants.
Le meilleur argument en faveur du port standard est à mon sens celui du pare-feu d'entreprise, souvent tatillon. Il arrive que le port 22 soit déjà ouvert. Dans le cas contraire, il peut l'être ouvert lorsqu'on motive la demande et que le RSSI n'est pas trop rigide et étroit d'esprit. Par expérience, je sais que c'est déjà plus difficile à obtenir avec un port non standard dont les admin. sys. auront plus de mal à identifier l'usage. En dernier recours, on peut par contre utiliser le port 443 (normalement dédié au protocole HTTPS) en combinaison SSLH (http://www.rutschle.net/tech/sslh.shtml). Mais SSLH ralentit l'établissement des connexions et il ne me semble donc pas raisonnablement utilisable sur des serveurs très sollicités.
> Il vaut mieux coller un knockd et/ou un fail2ban.
Le concept du port-knocking est séduisant mais là encore, les pare-feux rendent cette technique inutilisable dans la pratique. D'où ma préférence pour Fail2Ban.
Sébastien
--
Sébastien Dinot, sebastien.dinot@free.fr
http://sebastien.dinot.free.fr/
Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer !
Reply to: