On Mon, Dec 20, 2010 at 10:46:02AM +0100,
Sebastien Rodriguez sebastien.rodrigu...@gmail.com wrote
a message of 22 lines which said:
Si si, ConnectBot (http://code.google.com/p/connectbot/) permet
d'utiliser des clefs d'authentification : je l'utilise avec
succès...
Ah exact, merci, ça
- Mail d'origine -
De: Vincent Lefevre vinc...@vinc17.net
À: debian-user-french@lists.debian.org
Envoyé: Sun, 19 Dec 2010 22:36:56 +0100 (CET)
Objet: Re: Faire tourner sshd sur un autre port que 22
On 2010-12-19 18:15:02 +0100, mouss wrote:
on peut aussi activer plusieurs ports dans
Le 17 décembre 2010 22:35, Stephane Bortzmeyer steph...@sources.org a écrit :
Ceci dit, sur Android, je ne connais aucun client SSH qui puisse
utiliser les clés pour l'authentification.
Bonjour,
Si si, ConnectBot (http://code.google.com/p/connectbot/) permet
d'utiliser des clefs
Le 19/12/2010 22:36, Vincent Lefevre a écrit :
On 2010-12-19 18:15:02 +0100, mouss wrote:
on peut aussi activer plusieurs ports dans sshd_config:
Port 22
Port ABCDE
et n'autoriser le port 22 qu'à partir de certaines IPs (avec iptables ou
autre). ça a l'avantage de ne pas devoir modifier
Pascal Hambourg pascal.m...@plouf.fr.eu.org writes:
Nicolas KOWALSKI a écrit :
Il y a une autre méthode basée sur iptables, simple et sûre, en lieu
et place de fail2ban ?
Tu veux dire une méthode non basée sur les logs d'échec de sshd ?
Je n'en connais pas.
Oui, je pensais à ce type de
Bonjour,
J'avais une méthode radicale, mais dangereuse avec iptables: iptables -A INPUT
-p tcp --dport ssh -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport ssh --match state --state NEW -m recent
--update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP
Le
Le 17/12/2010 14:00, Stephane Bortzmeyer a écrit :
http://www.bortzmeyer.org/sshd-port-alternatif.html
[snip]
Existe-t-il d'autres méthodes pour contrarier ce genre d'attaquants ?
Oui, bien sûr, on peut restreindre l'accès à SSH par adresse IP source.
Cela se fait souvent sur les routeurs,
On 2010-12-19 18:15:02 +0100, mouss wrote:
on peut aussi activer plusieurs ports dans sshd_config:
Port 22
Port ABCDE
et n'autoriser le port 22 qu'à partir de certaines IPs (avec iptables ou
autre). ça a l'avantage de ne pas devoir modifier les scripts qui utilisent
ssh à partir de
Le 17/12/2010 20:15, Stephane Bortzmeyer a écrit :
On Fri, Dec 17, 2010 at 02:15:43PM +0100,
Daniel Huhardeauxno-s...@tootai.net wrote
a message of 65 lines which said:
Host mon-serveur
Port 42666
Tout à fait. Mais attention, cela ne fonctionne pas avec scp
Je
Pascal Hambourg pascal.m...@plouf.fr.eu.org writes:
J'hésite à dire simpliste, même. La correspondance recent d'iptables
est vulnérable à l'usurpation d'adresse et a une mémoire limitée, ce qui
permet à un attaquant de débloquer son adresse rapidement ou de bloquer
une adresse arbitraire,
Nicolas KOWALSKI a écrit :
Pascal Hambourg pascal.m...@plouf.fr.eu.org writes:
J'hésite à dire simpliste, même. La correspondance recent d'iptables
est vulnérable à l'usurpation d'adresse et a une mémoire limitée, ce qui
permet à un attaquant de débloquer son adresse rapidement ou de bloquer
http://www.bortzmeyer.org/sshd-port-alternatif.html
La plupart des serveurs et routeurs connectés à l'Internet ont un
serveur SSH qui écoute sur le port 22 pour permettre l'accès à distance
et l'administration de la machine. Très souvent, des attaques
Bonjour
Le 17/12/2010 14:00, Stephane Bortzmeyer a écrit :
http://www.bortzmeyer.org/sshd-port-alternatif.html
La plupart des serveurs et routeurs connectés à l'Internet ont un
serveur SSH qui écoute sur le port 22 pour permettre l'accès à distance
et
Bonjour,
[snip]
Existe-t-il d'autres méthodes pour contrarier ce genre d'attaquants ?
Oui, bien sûr, on peut restreindre l'accès à SSH par adresse IP source.
Cela se fait souvent sur les routeurs, qu'on n'administre que depuis le
réseau interne, mais ce n'est pas toujours possible pour
On Fri, Dec 17, 2010 at 03:07:32PM +0100, giggzounet wrote:
Mon pc s'intègre au réseau de l'université où je bosse. Je ne peux
malheureusement pas changé de port pour ssh (sinon je ne peux plus me
connecter de l'extérieur...).
On peut le mettre derrière un port connu (par exemple 443),
ça peut
Le Friday 17 December 2010 14:00:17 Stephane Bortzmeyer, vous avez écrit :
Existe-t-il d'autres méthodes pour contrarier ce genre d'attaquants ?
Voici ce que j'utilise :
Pour ssh
En plus de changer le port d'écoute par défaut, j'interdit l'accès root et
j'oblige l'identification par clefs.
$
Le 17/12/2010 18:19, Yves Rutschle a écrit :
On Fri, Dec 17, 2010 at 03:07:32PM +0100, giggzounet wrote:
Mon pc s'intègre au réseau de l'université où je bosse. Je ne peux
malheureusement pas changé de port pour ssh (sinon je ne peux plus me
connecter de l'extérieur...).
On peut le
- Mail d'origine -
De: Yves Rutschle debian.anti-s...@rutschle.net
À: debian-user-french@lists.debian.org
Envoyé: Fri, 17 Dec 2010 18:19:06 +0100 (CET)
Objet: Re: Faire tourner sshd sur un autre port que 22
On Fri, Dec 17, 2010 at 03:07:32PM +0100, giggzounet wrote:
Mon pc s'intègre au
Stephane Bortzmeyer steph...@sources.org writes:
En sécurité, les solutions les plus simples et les moins fatigantes
sont souvent les meilleures.
Le petit script iptables ci-dessous met dehors toutes les attaques par
dictionnaire (plus de 3 connexions par minutes sur le ssh, et l'IP
source est
On Fri, Dec 17, 2010 at 02:15:43PM +0100,
Daniel Huhardeaux no-s...@tootai.net wrote
a message of 65 lines which said:
Host mon-serveur
Port 42666
Tout à fait. Mais attention, cela ne fonctionne pas avec scp
Je regrette mais c'est tout à fait faux (et je viens de re-tester, et
ça
Bonjour,
Le vendredi 17 décembre 2010, Stephane Bortzmeyer a écrit...
Encore une autre solution est d'utiliser fail2ban mais je ne l'ai
personnellement pas encore tenté. En sécurité, les solutions les plus
simples et les moins fatigantes sont souvent les meilleures.
J'utilise :
-
On Fri, Dec 17, 2010 at 06:37:53PM +0100,
Alain Vaugham al...@vaugham.com wrote
a message of 29 lines which said:
j'oblige l'identification par clefs.
C'est sûr que c'est sûr mais cela peut entrainer le blocage de
l'administrateur hors de son propre serveur, s'il n'a pas son
ordinateur sous
Le vendredi 17 décembre 2010 à 21:55 +0100, Jean-Michel OLTRA a écrit :
- iptables avec ipset pour bloquer les méchants pendant un certain
temps.
merci pour ipset ça a l'air puissant.
signature.asc
Description: This is a digitally signed message part
Bonjour,
Le vendredi 17 décembre 2010, Julien a écrit...
- iptables avec ipset pour bloquer les méchants pendant un certain
temps.
merci pour ipset ça a l'air puissant.
Oui, et très pratique pour rajouter à la volée des ports autorisés, des
hôtes autorisés (ou non).
Je suppose
Salut,
Nicolas KOWALSKI a écrit :
# iptables-save
# Generated by iptables-save v1.4.2 on Fri Dec 17 18:45:42 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s
25 matches
Mail list logo