[ Thread Index |
Date Index
| More lists.tuxfamily.org/carrefourblinux Archives
]
Bonsoir Greg:
On Thu, Mar 04, 2010 at 09:07:34PM +0100, Gregory Fardel wrote:
> >
> > Hello,
> >
> > nouveau modem/routeur, nouvelle police de sécurité sur ma Debian:
> >
> > 1)
> > je viens d'installer (histoire d'essayer) une petite appli
> > fort sympa, appelée fail2ban.
> >
> > Qq'un ici connaît-il cette bestiole ?
> > Je cherche à savoir si c'est suffisament sécure de laisser la
> > conf standard proposée, ou s'il vaut mieux ... revisser
> > quelques boulons plus solidement ?
> > :-)
> >
> > Attention, je ne veux pas aller jusqu'à la parano, genre
> > banir tout accès ssh pendant un mois à celui qui rate son mdp
> > trois fois ... mais je sais que c'est configurable ...
> >
> > 2)
> > pour interdire tout accès par login + mdp, es-ce dans
> > sshd_config que ça se configure ? quelle ligne exactement ?
> > (le but étant du coup d'avoir accès par clé rsa (cf. authorized_keys))
> >
> > Aldo.
> Salut l'ami !
>
> Bien bien.
>
> Pour commencer, comme c'est un Suisse qui a créé fail2ban ... Ben ....
> C'était juste pour le faire savoir. Attention, c'est bientôt Vendredi donc
> me suis donné l'autorisation :)
Ah! tu connais : Vendredi, le Jour Du Troll ! :-)
> Moi, avec fail2ban, sur tous mes serveurs, je diminue le nombre de retry
> (ex. ssh dos à 2 à la place de 6). Tu peux le faire avec d'autres logiciels
> également, donc dans le jail.conf, ex. apache, proftpd, etc ... Selon ce que
> tu as envie, si tu veux que ce soit super sécurisé, reste dans les petites
> tentatives (genre 3 ou 4).
Le problème est que, d'après l'explication dans jail.conf même, on est sensé
ne pas toucher à jail.conf lui-même:
as-tu d'abord fait une copie verbatim de jail.conf en jail.local, dont tu as
ensuite modifié les MaxRetry etc ?
> Si on arrive à bien te brutforcer, j'avais entendu dire qu'on pouvait
> réussir à passer quelques secondes de plus à obtenir des tentatives
> supplémentaires, m'enfin bon, faut déjà que ton CPU soit bien chargé !
> De toutes façons, comme ça reste au niveau d'iptables, du moment que c'est
> dans les rules, l'ip ne passe plus.
C un peu chinois ça pour moi, mais si tu me donnes un exemple plus précis de
quoi modifier où, ça peut m'aider.
> Pour ssh :
>
> C'est avec l'option PasswordAuthentication que tu peux gérer ça, dans le
> fichier /etc/sshd/sshd_config.
>
> Yes = authentification avec mot de passe, no = pas d'authentification avec
> mot de passe, fait bien attention d'être sûr d'avoir accès avec une clé sur
> ta machine, d'une fois que tu auras basculé cette option !
OUi j'ai bien mon set de clés en double pour ma machine située à 200 km
d'ici,
et un authorized_keys est bien sur ma machine présente.
Parcontre s'il faut aussi dès lors une clé pour faire du ssh ou scp sur le
même réseau local de PC à PC, c plus embêtant, mais bon si c la méthode je
mettrai mon set de clés sur ces divers ordis.
> Voilà voilà ... J'espère que j'ai été assez précis !
Merci bcp de ton aide.
> A plus et bonne nuit pour ceux qui vont se coucher ! :)
Good night! Je fais des tests demain.
> Gregory
Aldo.
---
--
CarrefourBLinuX MailingListe
Pour obtenir de l'aide, envoyez le sujet help à:
carrefourblinux-request@xxxxxxxxxxxxxxxxxxx
Archives:
http://listengine.tuxfamily.org/lists.tuxfamily.org/carrefourblinux