Le 11/04/2016 16:07, afrinc a écrit : > Le 11/avril - 15:14, honeyshell a écrit : >> Dans le cas d'une passphrase heureusement fail2ban fait le travail. >> D'un point de vue sécurité je n'imagine pas ssh sans passphrase. >> >> Je ne sais pas si il existe un script qui avertit par mail en cas >> d'échec répétitifs détectés par Fail2ban sur la passphrase? >> >> Un script qui avertirait par mail en cas d'une connexion via une IP >> non connue serait aussi intéressant? (bien sûr brider les IP serait la >> solution idéale) > > Brider les IPs… > > Du genre en préfixant la clef dans ~/.ssh/authorized_keys d'un : > from="123.45.67.89" > > cf : man authorized_keys, section AUTHORIZED_KEYS FILE FORMAT > > Cette méthode fonctionne bien sûre que sur les IPs fixe, et donc ne sert > à rien dans le cas d'un besoin d'accès "nomade" au serveur SSH. >
Pour le cas des nomades ou accès extérieurs, il y a la solution du VPN/tunnel ou d'un serveur intermédiaire. Dans le dernier cas, il y a plusieurs solution: - config ssh ProxyCommand : https://wiki.gentoo.org/wiki/SSH_jump_host - Logiciel dédié qui gère l'accès selon groups,heure,etc... Dans le cas du serveur intermédiaire, les clés ne sortent pas de l'entreprise et seul le serveur intermédiaire est exposé. -- EON Vincent http://www.lws.fr ---------------------------------------------- Siége social: LIGNE WEB SERVICES 4, RUE GALVANI 75017 PARIS - FRANCE ----------------------------------------------- Ce message et toute pièce jointe sont confidentiels et doivent être protégés contre toute divulgation. Si vous n'êtes pas le destinataire de ce message, merci de téléphoner ou d'envoyer un email à l'expéditeur, et de détruire ce message et toute pièce jointe.
