Bonjour
Le 17/12/2010 14:00, Stephane Bortzmeyer a écrit :
http://www.bortzmeyer.org/sshd-port-alternatif.html
----------------------------
La plupart des serveurs et routeurs connectés à l'Internet ont un
serveur SSH qui écoute sur le port 22 pour permettre l'accès à distance
et l'administration de la machine. Très souvent, des attaques
automatiques sont lancées contre ces machines. Même si elles échouent,
elles remplissent les journaux et déclenchent des alarmes inutiles. Je
recommande personnellement de ne jamais faire tourner le serveur SSH
sur le port 22.
Cela fait des années que j'applique cette règle et ne m'en porte que mieux
[...]
Certaines personnes pensent que changer de port va leur compliquer la
vie à eux aussi, en les obligeant à indiquer le numéro de port à chaque
commande SSH, par exemple à taper ssh -p 42666 mon-serveur au lieu de
ssh mon-serveur. Mais non ; OpenSSH permet de mettre le numéro de port
une fois pour toutes dans le fichier ~/.ssh/config :
Host mon-serveur
Port 42666
Tout à fait. Mais attention, cela ne fonctionne pas avec scp
[...]
Existe-t-il d'autres méthodes pour contrarier ce genre d'attaquants ?
Oui, bien sûr, on peut restreindre l'accès à SSH par adresse IP source.
Cela se fait souvent sur les routeurs, qu'on n'administre que depuis le
réseau interne, mais ce n'est pas toujours possible pour les serveurs,
il faut bien pouvoir se connecter à distance. Il y a aussi la
possibilité de faire du « toquage à la porte » avec un logiciel comme
knockd ou avec une solution plus simple
(http://www.debian-administration.org/articles/268). Encore une autre
solution est d'utiliser fail2ban mais je ne l'ai personnellement pas
encore tenté. En sécurité, les solutions les plus simples et les moins
fatigantes sont souvent les meilleures.
Fail2ban est parfait pour bloquer ce genre d'attaques. Il ne faut pas
oublier que certains services se doivent de tourner sur le port qui leur
est défini (IAX, SIP, H323, ...). Fail2ban est alors le compagnon
indispensable. Combien de serveurs VOIP sont attaqués et ce avec
réussite, la légèreté de programmation des règles du dialplan et de la
définition des clients étant dans la très grande majorité des cas
responsable de la cette réussite.
--
Daniel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4d0b627f.1020...@tootai.net