Le 8 février 2011 13:08, FROIDURE Nicolas <[email protected]> a écrit : > > Re-bonjour,
Hello > A la relecture de chacun de vos messages, je viens d'avoir une idée par > rapport au problème soulevé par Kevin. Je peux peut-être utiliser le port 21 > à la place du 22 pour le SSH de mon serveur. De cette façon, je fais d'une > pierre deux coups : j'évite les scans du port 22 et je reste compatible avec > les firewall d'entreprise. Vu je je compte pas mettre de serveur FTP, ça se > tient non ? Des contre-indications à cette stratégie ? > > ++ Tu éviteras la plupart des scans sauvages cherchant les ports par défaut mais un scan assez intelligent repère ça vite : Exemple, je fais tourner mon sshd sur le port 21 : # netstat -tlnp | grep 21 tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 6020/sshd tcp6 0 0 :::21 :::* LISTEN 6020/ssh Hop je scan avec un outil de base disponible partout : $ nmap -sV 127.0.0.1 Starting Nmap 5.00 ( http://nmap.org ) at 2011-02-08 14:36 CET Interesting ports on localhost (127.0.0.1): Not shown: 991 closed ports PORT STATE SERVICE VERSION 21/tcp open ssh OpenSSH 5.5p1 Debian 6 (protocol 2.0) Tu peux même faire le test avec un simple telnet : $ telnet 127.0.0.1 21 Trying 127.0.0.1... Connected to 127.0.0.1. Escape character is '^]'. SSH-2.0-OpenSSH_5.5p1 Debian-6 ;) Bref c'est pas parfait non plus, juste un peu mieux mais ça peut aussi se gérer avec d'autres solutions : * fermetures automatiques des ports en cas de forcing * ou même ouverture temporaire via une interface web par exemple. * ou encore ouverture dynamique avec du port-knocking Tout dépend de ton degré de paranoïa. -- Kévin Contributeur Mozilla Membre de l'April - « promouvoir et défendre le logiciel libre » - http://www.april.org http://identi.ca/khi - http://twitter.com/kh_i - http://system-linux.eu -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers [email protected] En cas de soucis, contactez EN ANGLAIS [email protected] Archive: http://lists.debian.org/[email protected]
