Le sam. 21 sept. 2019 à 21:42, Daniel Huhardeaux <no-spam@tootai.net
<mailto:no-spam@tootai.net>> a écrit :
Le 21/09/2019 à 20:18, G2PC a écrit :
> Merci de ce retour, je vais faire des recherches complémentaires,
car,
> même si ta réponse est bien formulée, je décroche un peu.
> Fondamentalement, je veux bien te croire, mais, il va falloir que je
> vérifie, comment faire pour l'activer, et, pour vérifier son
activation.
>
>
> De mon côté, j'ai rajouté le Port Knocking par Iptables, que j'ai
placé
> tout à la fin de mon script, juste au dessus de COMMIT.
> Ça a l'air fonctionnel, mais, j'ai l'impression que ça manque de
> réactivité, et, je me demande si je n'ai pas des règles qui
pourraient
> entrer en conflit, comprendre, se répéter inutilement.
>
> Le script Iptables :
>
https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables#R.C3.A8gle_personnalis.C3.A9e_pour_configurer_Iptables_filter
>
> Le script Port Knocking :
>
https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables#Mise_en_place_du_Port_Knocking
>
>
> J'aimerais bien pouvoir gagner un peu de souplesse, au moment du Port
> Knocking, car, j'ai l'impression que ça pédale dans la choucroute.
> Peut être un problème de perf de serveur, un VPS 1Go, ce serait déjà
> trop light vu que j'ai quelques virtualhosts dessus.
>
> Quoi qu'il en soit, j'ai tenté de me connecter directement en
SSH, et,
> le port knocking semble bien faire le boulot, la connexion n'est pas
> établie.
> Par contre, si je décommente les 2 lignes autorisant le port SSH dans
> mon script principale, le script du Port Knocking ne semble pas
arriver
> à m'ouvrir le port 22.
> J'ai donc une autorisation de SSH port 22 en input et output
depuis mon
> script principale, tout comme j'ai, tout à la fin de ce script
> principale, le script Port Knocking, qui me réautorise le port 22
si les
> frappes aboutissent.
> Je ne suis pas sur que ce soit normal, d'avoir à autoriser le
port SSH,
> puis, à le réauthoriser avec le port knocking.
> Il me semble que le port knocking devrait suffir à gérer
l'ouverture et
> la fermeture du port SSH.
>
> Il faut que je revérifie.
Oublie le port knocking. Change le port d'écoute ssh et tout ira bien.
Si tu veux tout de même encore plus te protéger installe fail2ban.
Encore mieux: ouvre un VPN entre toi et ton serveur.
>
> Le 21/09/2019 à 13:46, Pascal Hambourg a écrit :
>> Le 21/09/2019 à 12:39, G2PC a écrit :
>>>
>>> # Mon serveur ne retrouve pas les deux lignes de configuration
>>> suivantes, que je commente. A SUIVRE !
>>> # sysctl: cannot stat
/proc/sys/net/netfilter/nf_conntrack_tcp_loose:
>>> Aucun fichier ou dossier de ce type
>>> # sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_max:
Aucun
>>> fichier ou dossier de ce type
>>
>> Ces sysctls n'existent que si le module nf_conntrack_ipv4 ou
>> nf_conntrack_ipv6 est chargé, ce qui est fait automatiquement à la
>> création de la première règle utilisant le suivi de connexion
(state,
>> conntrack, connmark...) ou au chargement de la table nat.
>>
>> Pour pouvoir les initialiser via /etc/sysctl{,.d/*}.conf, il faut
>> charger un de ces modules via /etc/modules{,-load.d/*.conf}.
>>
>
--
Daniel