On Wednesday 13 December 2006 11:35, Christian ALT wrote: > Toute mesure prise qui réduit les risques est une "méthode de protection". > Le port 22222 c'est très bien, pas cher, efficace contre certains robots.
Je ne serais pas supris de decouvir, a l'avenir, que les tentatives d'intrusion sur ssh se mettent a utiliser les ports 222, 2222, 22222; voir a faire un nmap prealable. La plupart de ces tentatives essaient d'ailleurs de se connecter en 'root'., 'test', 'admin', etc. Il est deja facile de rejeter systemetiquement les tentatives de login ssh pour ces utilisateurs dans la config de sshd. Ensuite, pas de 'sudo' automatique; CAD sans devoir entre le mot de passe ! C'est deja une bonne barriere. L'utilisation de denyhost permet de mettre en quarantaine les systemes fautif, ceci pendant une periode que l'on peut definir (jours, semaines, etc.). C'est assez utile car les tentatives sont repetitives. > La modification des règles sur le firewall c'est très bien. > Une bonne méthode de protection est d'ajouter de l'authentification en > entrée sur le firewall. Cela veut dire gérer des utilisateurs sur le > firewall qui peuvent faire du SSH. Tu veux dire : n'autoriser que les connexions ssh depuis des adresses reconnues ? Dans ce cas, c'est un peu restrictif si tu as besoin d'etre itinerant. Une solution peut-etre alors d'utiliser la technologie de 'port-knocking'. C'est conteste par certains, mais offre, a mon avis, un degre de diificulte suplementaire aux crackers. Pas trop complique a mettre en place... > En ce qui concerne les contacts avec les ISPs pourquoi pas si ils sont en > Suisse. Ailleurs cela devient plus problématique. Il faut déterminer si > l'attaque est ciblée ou si elle fait partie du bruit de fond. Dans le > second cas cela ne vaut pas la peine. Il y a longtemps, j'avais remonte al trace de certains 'crackers' et elles menaient toutes en Asie... on oublie :-) Sans compter que certaines tentatives sont effectuees a partir de PC 'cracques' a l'insu de leurs proprietaires. dc _______________________________________________ gull mailing list [email protected] http://lists.alphanet.ch/mailman/listinfo/gull
