| Re: [CBLX] OpenSSH ou comment se logger sans mot de passe entre machines |
[ Thread Index |
Date Index
| More lists.tuxfamily.org/carrefourblinux Archives
]
- To: carrefourblinux@xxxxxxxxxxxxxxxxxxx
- Subject: Re: [CBLX] OpenSSH ou comment se logger sans mot de passe entre machines
- From: Raphaël POITEVIN <raphael.poitevin@xxxxxxxxx>
- Date: Sun, 24 Jan 2021 00:30:19 +0100
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20161025; h=from:to:subject:references:date:in-reply-to:message-id:user-agent :mime-version:content-transfer-encoding; bh=iDFonRnYvFFp5hA9c3XWbrkHL1KBB6nwO+irq7UosT4=; b=uFsWhvu8o2oTZ0mMTpIV4Up4Vr2uanzAWHcOh9T29Nn7lZyiwoyC66on6OOaf2DFmW Gp0PuxIxlhy3CS1BQf/OsJf4+5rcRjvK1kIfqqayzO3o3XykMjLZqs+01QCX8zkqlOw2 R6VVJ4wmh1DCBtuCv7IwSrl9u1mPV7GnKep6TZF83Ip2Yj4QkWQLfpknVc9z7smB+m0a yWeEgniOJFetC3tKFojnGLxOrA/Y/OvkPaLBmWvCsk+rBTmvqF/0LP5Xx7AIVOYHj38t hUHIrUSgnonbwpyU+CJpJK7jYILNdSDpqC+0SBH2LrcgdUlbHDPe/WHefc97yPg3FMGs CL3w==
Léa Gris <lea.gris@xxxxxxxxxxxx> writes:
> Les réseau de robots (botnets) alimentés par des millions de machines
> compromises par des vers et contrôlés par des groupes mafieux financés
> par des états voyous.
Ça c’est dans les romans policiers voyons ! Poutine est innocent ! :-)
et en plus je doute qu’il sache ce qu’est le ssh.
>
> Fail2ban est très bien, mais c’est encore mieux si en plus on déplace
> le port ssh vers n'importe quel autre port supérieur à 1024.
Exactement. En oubliant quand-même les ports du style 2022 ou 2222.
>
> Pour être encore plus précautionneux, tu peux aussi restreindre
> l'accès à ce port depuis des IP ou plages d'IP spécifiques, utiliser
> le frapper à la porte (port knocking); qui consiste à envoyer des
> pings TCP à des ports déterminés, selon une séquence et un rythme
> secret avant que le port SSH soit ouvert à l'IP qui an envoyé la bonne
> séquence de ping.
Que faut-il mettre côté serveur et comment ça se passe côté client ?
>
> Et en mode totalement parano, tu peux envoyer une demande de
> confirmation par mail ou autre support pour ouvrir l’accès à l’IP qui
> vient de frapper la séquence d’accès.
Intéressant. Idem, comment ça se met en place ?
Avec ça, on sera peut-être même protégé du covid ! :-)
Ceci dit, j’ai un port ssh ouvert au-delà de 1024, assez peu d’attaque,
donc c’est déjà pas mal.
--
Raphaël
www.leclavierquibave.fr
--
CBLX - CarrefourBLinuX MailingListe
Pour obtenir de l'aide, envoyez le sujet help à:
carrefourblinux-request@xxxxxxxxxxxxxxxxxxx
Archives:
http://listengine.tuxfamily.org/lists.tuxfamily.org/carrefourblinux
ou
http://www.mail-archive.com/carrefourblinux@xxxxxxxxxxxxxxxxxxx/