Le sam. 21 sept. 2019 à 21:42, Daniel Huhardeaux <[email protected]> a écrit :
> > Oublie le port knocking. > Daniel > > Simple curiosité: Pourquoi oublier le port knocking ? Je ne l'ai jamais utilisé mais ça m'avait l'air assez utile Le sam. 21 sept. 2019 à 21:42, Daniel Huhardeaux <[email protected]> a écrit : > Le 21/09/2019 à 20:18, G2PC a écrit : > > Merci de ce retour, je vais faire des recherches complémentaires, car, > > même si ta réponse est bien formulée, je décroche un peu. > > Fondamentalement, je veux bien te croire, mais, il va falloir que je > > vérifie, comment faire pour l'activer, et, pour vérifier son activation. > > > > > > De mon côté, j'ai rajouté le Port Knocking par Iptables, que j'ai placé > > tout à la fin de mon script, juste au dessus de COMMIT. > > Ça a l'air fonctionnel, mais, j'ai l'impression que ça manque de > > réactivité, et, je me demande si je n'ai pas des règles qui pourraient > > entrer en conflit, comprendre, se répéter inutilement. > > > > Le script Iptables : > > > https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables#R.C3.A8gle_personnalis.C3.A9e_pour_configurer_Iptables_filter > > > > Le script Port Knocking : > > > https://wiki.visionduweb.fr/index.php?title=Configurer_le_pare-feu_Iptables#Mise_en_place_du_Port_Knocking > > > > > > J'aimerais bien pouvoir gagner un peu de souplesse, au moment du Port > > Knocking, car, j'ai l'impression que ça pédale dans la choucroute. > > Peut être un problème de perf de serveur, un VPS 1Go, ce serait déjà > > trop light vu que j'ai quelques virtualhosts dessus. > > > > Quoi qu'il en soit, j'ai tenté de me connecter directement en SSH, et, > > le port knocking semble bien faire le boulot, la connexion n'est pas > > établie. > > Par contre, si je décommente les 2 lignes autorisant le port SSH dans > > mon script principale, le script du Port Knocking ne semble pas arriver > > à m'ouvrir le port 22. > > J'ai donc une autorisation de SSH port 22 en input et output depuis mon > > script principale, tout comme j'ai, tout à la fin de ce script > > principale, le script Port Knocking, qui me réautorise le port 22 si les > > frappes aboutissent. > > Je ne suis pas sur que ce soit normal, d'avoir à autoriser le port SSH, > > puis, à le réauthoriser avec le port knocking. > > Il me semble que le port knocking devrait suffir à gérer l'ouverture et > > la fermeture du port SSH. > > > > Il faut que je revérifie. > > Oublie le port knocking. Change le port d'écoute ssh et tout ira bien. > Si tu veux tout de même encore plus te protéger installe fail2ban. > Encore mieux: ouvre un VPN entre toi et ton serveur. > > > > > Le 21/09/2019 à 13:46, Pascal Hambourg a écrit : > >> Le 21/09/2019 à 12:39, G2PC a écrit : > >>> > >>> # Mon serveur ne retrouve pas les deux lignes de configuration > >>> suivantes, que je commente. A SUIVRE ! > >>> # sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_tcp_loose: > >>> Aucun fichier ou dossier de ce type > >>> # sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_max: Aucun > >>> fichier ou dossier de ce type > >> > >> Ces sysctls n'existent que si le module nf_conntrack_ipv4 ou > >> nf_conntrack_ipv6 est chargé, ce qui est fait automatiquement à la > >> création de la première règle utilisant le suivi de connexion (state, > >> conntrack, connmark...) ou au chargement de la table nat. > >> > >> Pour pouvoir les initialiser via /etc/sysctl{,.d/*}.conf, il faut > >> charger un de ces modules via /etc/modules{,-load.d/*.conf}. > >> > > > > -- > Daniel > >
