Re: [CBLX] ssh

[ Thread Index | Date Index | More lists.tuxfamily.org/carrefourblinux Archives ]


From: Dominique Asselineau <asseline@xxxxxxxxxxxxxxxxxxxx>
Subject: Re: [CBLX] ssh
Date: Sun, 2 Nov 2014 14:31:44 +0100

> Pierre Lorenzon wrote on Sun, Nov 02, 2014 at 09:14:08AM +0100
>> From: erwin <erwinb@xxxxxxxxxx>
>> Subject: Re: [CBLX] ssh
>> Date: Sat, 1 Nov 2014 17:03:13 +0100
>> 
>> > Le Sat, 1 Nov 2014 14:45:07 +0100
>> > Aldo <info@xxxxxxxxxxxx> écrivait:
>> > 
>> >> En root je pense que de toute façon ça ne fonctionne pas, il te faut d'abord
>> >> un login via un utilisateur; chez moi je sais que ça ça ne fonctionnait pas,
>> > 
>> > bonjour,
>> > sur mon réseau local (3 becanes sous debian 7) je me logge par ssh directement en root sans pb . (ssh root@machine)
>> > Cela me permet de mettre à jour les machines sans me déplacer. (et je tape les mots de passe root des bécanes)
>> 
>>   Pour avoir installé plusieurs fois openssh il me semble qu'en
>>   effet par défaut le login root est autorisé mais qu'il ne
>>   faut pas grand chose pour le fermer et que c'est
>>   recomandé. Après on fait ce qu'on veut. Mais alors pour le
>>   coup il est plus que recommandé de ne pas mettre un passwd
>>   trivial pour root. Parce que les attaques ssh root j'en ai
>>   plein mes log ! Le robot va essayer des mots de passe idiots
>>   et puis se lasser. 
> 
> là, c'est clairement une illusion de penser que les robots s'arrêtent
> aux mots de passe triviaux.  Les habitudes de choix de mot de passe
> sont de plus en plus connues.  Et même en évitant les mots de
> dictionnaire de quelque langue que ce soit, des prénoms ou autres
> sobriquets de quelque culture que ce soit, ils ne sont jamais vraiment
> aléatoire.  Du coup, les stratégies pour les craquer sont de plus en
> plus sophistiquées et efficaces.  Ça se voit sur certains services qui
> refusent ou du moins avertissent lorsque le mot de passe qu'on choisit
> est jugé peu sûr.  Par conséquent si on a plusieurs milliers de

  Tout à fait. Certain service de passwd n'acceptent pas
  n'importe quoi même pour des users lambda (celui de mon
  boulot en particulier).




> tentatives par jour et ce, pendant des mois et des mois, même si on a
> de bonnes raisons de penser que c'est improbable, ça n'est pas
> impossible et ça peut finir par passer.

  Ca c'est clair improbable mais jamais impossible ! Si
  effectivement on intègre des données comportementales au
  mécanisme de craquage des passd on augmente (mais
  sensiblement ? considérablement ? voilà un joli calcul à
  faire faire à des étudiants dans un cours de proba pour
  débutants) la chance de craquer. 




> 
> J'ai un VPS sur lequel il y a près de 220 000 tentatives par mois de
> connexion à root, et ça augmente. Je ne sais pas vraiment si ça vient
> du même robot mais je me suis décidé à empêcher le login root par SSH,
> c'est vraiment très simple à faire.  Ça faisait belle lurette que je
> ne me connectais plus de cette manière en root, ça ne change donc même
> pas mes habitudes.

  Bon eh bien vous allez peut-être finir par me convaincre
  Raphaël et toi et c'est vrai que le ssh root n'est pas celui
  qui me sert en priorité alors pourquoi pas le fermer au moins
  pour les machines du monde celle du réseau interne pouvant
  continuer.

  Pierre

> 
> dom
> -- 
> 
> -- 
> 
>    CarrefourBLinuX MailingListe 
>    Pour obtenir de l'aide, envoyez le sujet  help  à: 
>    carrefourblinux-request@xxxxxxxxxxxxxxxxxxx
>    Archives: 
>    http://listengine.tuxfamily.org/lists.tuxfamily.org/carrefourblinux
> 

-- 

   CarrefourBLinuX MailingListe 
   Pour obtenir de l'aide, envoyez le sujet  help  à: 
   carrefourblinux-request@xxxxxxxxxxxxxxxxxxx
   Archives: 
   http://listengine.tuxfamily.org/lists.tuxfamily.org/carrefourblinux


Mail converted by MHonArc 2.6.19+ http://listengine.tuxfamily.org/