Re: Conseils sur la sécurisation de ses accès par SSH

To: debian-user-french@lists.debian.org
Subject: Re: Conseils sur la sécurisation de ses accès par SSH
From: Vincent Lefevre <vincent@vinc17.net>
Date: Wed, 13 Apr 2016 13:49:06 +0200
Message-id: <[🔎] 20160413114906.GC19424@cventin.lip.ens-lyon.fr>
Mail-followup-to: debian-user-french@lists.debian.org
In-reply-to: <[🔎] 20160411140227.GA27384@univ-lemans.fr>
References: <[🔎] 5708CDAD.90405@nosheep.fr> <[🔎] CANmayrO+jNbpTOfwPaeP1O-eX3UsVvZKnma8++mgVcDg5od9xw@mail.gmail.com> <[🔎] nebp8l$9f2$1@ger.gmane.org> <[🔎] CAJeHwDaRKFz20SsMRuaRG5QPx2YPEjKVOBprOjzrRbJZ=EQ8fg@mail.gmail.com> <[🔎] 570A8EE5.4070706@nosheep.fr> <[🔎] neej0e$1jt$1@ger.gmane.org> <[🔎] 20160411112325.GC31177@cventin.lip.ens-lyon.fr> <[🔎] 20160411130417.GD12682@espinasse> <[🔎] CAJeHwDZ=83Ksi95e6ZGHd-jHEdUcJZdH5uJ8b3MJSmejSm9a+Q@mail.gmail.com> <[🔎] 20160411140227.GA27384@univ-lemans.fr>

On 2016-04-11 16:07:10 +0200, afrinc wrote:
> Le 11/avril - 15:14, honeyshell a écrit :
> > Un script qui avertirait par mail en cas d'une connexion via une IP
> > non connue serait aussi intéressant? (bien sûr brider les IP serait la
> > solution idéale)
> 
> Brider les IPs…
> 
> Du genre en préfixant la clef dans ~/.ssh/authorized_keys d'un :
> from="123.45.67.89"
> 
> cf : man authorized_keys, section AUTHORIZED_KEYS FILE FORMAT 
> 
> Cette méthode fonctionne bien sûre que sur les IPs fixe, et donc ne sert
> à rien dans le cas d'un besoin d'accès "nomade" au serveur SSH.

On peut imaginer d'avoir une clé pour telle adresse IP fixe, qui donne
un accès direct à la machine, et une autre pour les accès nomades,
avec une vérification supplémentaire dans ce cas-là, par exemple
demandant un mot de passe supplémentaire.

En ce qui me concerne, j'ai banni de manière permanente un certain
nombre de blocs IP, principalement de Chine, qui passaient leur temps
à faire des échecs une fois le temps de bannissement écoulé. Dans mon
/etc/hosts.deny:

# SEXinSEX (HK)
sshd: 43.255.190.0/24
sshd: 43.255.191.0/24
# CHINANET-JS (CN)
sshd: 58.218.192.0/19
# CHINANET-JS (CN)
sshd: 61.160.192.0/18
# CHINANET-ZJ-HU (CN)
sshd: 61.174.48.0/21
# NL-SERVERIUS-20080530 (NL)
sshd: 93.158.200.0/20
# HEETHAI-HK (CN)
sshd: 103.41.124.0/24
# MENA-CORE-2 (BH)
sshd: 109.63.64.0/18
# UNICOM-JX (CN)
sshd: 113.195.145.0/25
# CHINANET-ZJ-SX (CN)
sshd: 115.231.216.0/21
# MOVEINTERNET-NETWORK (CN)
sshd: 115.239.228.0/24
sshd: 115.239.248.0/24
# CHINANET-ZJ-HU (CN)
sshd: 122.225.96.0/19
# CHINANET-JX (CN)
sshd: 182.100.67.0/24
# CHINANET-JS (CN)
sshd: 218.2.0.0/16
# CHINANET-JX (CN)
sshd: 218.65.30.0/24
sshd: 218.87.0.0/16
# CHINANET-JS (CN)
sshd: 221.229.160.0/24
sshd: 221.229.166.0/24
# CTTNET (CN)
sshd: 222.48.110.0/24
# UNICOM-JL (CN)
sshd: 222.160.0.0/14
# CHINANET-JS (CN)
sshd: 222.186.0.0/16

-- 
Vincent Lefèvre <vincent@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Reply to:

Follow-Ups:
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: Bertrand Orvoine <bertrand.orvoine@univ-ubs.fr>

References:
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: Grégory Reinbold <gregory@nosheep.fr>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: David Demonchy <fusco.spv@gmail.com>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: Francois Lafont <mathsattacks@free.fr>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: honeyshell <honeyshell@honeyshell.com>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: Grégory Reinbold <gregory@nosheep.fr>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: Francois Lafont <mathsattacks@free.fr>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: Vincent Lefevre <vincent@vinc17.net>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: honeyshell <honeyshell@honeyshell.com>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: afrinc <angus.frinc@free.fr>

Prev by Date: Re: Conseils sur la sécurisation de ses accès par SSH
Next by Date: Re: Conseils sur la sécurisation de ses accès par SSH
Previous by thread: Re: Conseils sur la sécurisation de ses accès par SSH
Next by thread: Re: Conseils sur la sécurisation de ses accès par SSH
Index(es):
- Date
- Thread