une personne qui utilise l'informatique cette
solution :
https://renoirboulanger.com/blog/2012/02/creer-un-tunnel-ssh-inverse
-pour-pouvoir-supporter-a-distance-un-ami-utilisant-linux/
ensuite je souhaiterai mettre le mot de passe dans le script et
ainsi automatiser
la connection sans que le nat indi
debian-user-french@lists.debian.org ]
> Date: Sat, 9 Dec 2017 07:36:59 +0100 (CET)
> -
>
>
>> bonjour,
>>
>>
>> j'ai mis en place pour une personne qui utilise l'informatique cette
>> solution :
>&
[debian-user-french@lists.debian.org ]
Date: Sat, 9 Dec 2017 07:36:59 +0100 (CET)
-
bonjour,
j'ai mis en place pour une personne qui utilise l'informatique cette
solution :
https://renoirboulanger.com/blog/2012/02/creer-un-tunnel-ssh-inverse
-pour
Le Sat, Dec 09, 2017 at 07:36:59AM +0100, Bernard Schoenacker a écrit :
>
> j'ai mis en place pour une personne qui utilise l'informatique cette solution
> :
> https://renoirboulanger.com/blog/2012/02/creer-un-tunnel-ssh-inverse-pour-pouvoir-supporter-a-distance-un-ami-utilisant-lin
bonjour,
j'ai mis en place pour une personne qui utilise l'informatique cette solution :
https://renoirboulanger.com/blog/2012/02/creer-un-tunnel-ssh-inverse-pour-pouvoir-supporter-a-distance-un-ami-utilisant-linux/
ensuite je souhaiterai mettre le mot de passe dans le script et ainsi
Humm,
acct pourrait faire ton affaire ;)
Package: acct
Version: 6.6.4-1
Priority: optional
Section: admin
Maintainer: Debian Security Tools Packaging Team
Installed-Size: 316 kB
Depends: libc6 (>= 2.14), lsb-base
Homepage:
Bonjour,
A tout hasard, savez-vous comment je peux loguer tout ce qui se passe
en terminal pour surveiller tous les utilisateurs et ce qu'il font
(saisi au clavier, edition de fichier etc)
le .bash_history mais je n'ai pas ce qui est saisi au clavier.
Si vous avez des pistes.
Cordialement
Le Sun, 1 Oct 2017 04:20:53 +0200,
Pierre Meurisse <pierre.meuri...@free.fr> a écrit :
> On Mon, Aug 28, 2017 at 09:33:39AM +0200, Thierry Despeyroux wrote:
> > Bonjour,
> >
> > j'avais l'habitude dans les versions précédentes de Debian de me
> > connecter par ss
On Mon, Aug 28, 2017 at 09:33:39AM +0200, Thierry Despeyroux wrote:
> Bonjour,
>
> j'avais l'habitude dans les versions précédentes de Debian de me
> connecter par ssh -X à mon portable pro depuis ma station perso, et tout
> marchait nikel. Sauf pour les videos dans firefox, j
Bonjour
J'ai utilisé il y a un certain nombre d'années diverses solutions
basées sur al technologie NX. Je me suis servi encore récemment de X2go
qui s'appuie toujours sur cette technologie. Si le site offficiel de
NoMachine contient encore de la documentation sur comment NX optimise
les flux
Salut,
Je dépile les messages de le liste et tombe sur ce message ancien.
Le 28/08/2017 à 09:33, Thierry Despeyroux a écrit :
j'avais l'habitude dans les versions précédentes de Debian de me
connecter par ssh -X à mon portable pro depuis ma station perso, et tout
Même chose ici
hello,
> Si je pousse le concept bien plus loin que mon besoin, quid des
> ressources nécessaires pour avoir 2000, 5000, 1 comptes sftp/ssh?
ah mais j'etais pas en train de dire que je validais... je disais
justement "pas docker" mais debbootstrap te permettrait probablement
Le 06/09/2017 à 10:35, Marc Chantreux a écrit :
> On Wed, Sep 06, 2017 at 10:19:28AM +0200, Wallace wrote:
>> Je vois bien ce mécanisme mais il ne permet pas de chroot en ssh ou
>> alors c'est pas clair dans la documentation.
> OK du coup je comprend mieux l'idée de François:
On Wed, Sep 06, 2017 at 09:40:14AM +0200, Francois Mescam wrote:
> docker ?
je suis curieux: en quoi docker peut aider ?
marc
On Wed, Sep 06, 2017 at 09:19:07AM +0200, Wallace wrote:
> Bonjour à tous,
>
> J'utilise MySecureShell couplé à lshell pour chroot des comptes sftp/ssh
> et limiter les commandes qu'ils peuvent y faire.
https://serverfault.com/questions/354615/allow-sftp-but-disallow-ssh
tout est
Le 06/09/2017 à 09:40, Francois Mescam a écrit :
> docker ?
Docker isole des applications entre elles, Docker n'isole pas un compte
utilisateur de son micro OS.
Et puis Docker en prod, quand je vois le massacre chez certains
clairement loin de moi cette idée, OS des images pas à jour / plus
docker ?
On 06/09/2017 09:19, Wallace wrote:
Bonjour à tous,
J'utilise MySecureShell couplé à lshell pour chroot des comptes sftp/ssh
et limiter les commandes qu'ils peuvent y faire.
En voulant installer lshell sur une nouvelle Debian 8 je me rend compte
que le package n'existe plus. Et je
Bonjour à tous,
J'utilise MySecureShell couplé à lshell pour chroot des comptes sftp/ssh
et limiter les commandes qu'ils peuvent y faire.
En voulant installer lshell sur une nouvelle Debian 8 je me rend compte
que le package n'existe plus. Et je vois sur la page du package que ce
dernier a été
>> >
>> >
>> > On 08/28/2017 09:33 AM, Thierry Despeyroux wrote:
>> > > Bonjour,
>> > >
>> > > j'avais l'habitude dans les versions précédentes de Debian de me
>> > > connecter par ssh -X à mon portable pro depuis ma station perso,
ation matérielle dans ton
> > navigateur ?
> >
> >
> > On 08/28/2017 09:33 AM, Thierry Despeyroux wrote:
> > > Bonjour,
> > >
> > > j'avais l'habitude dans les versions précédentes de Debian de me
> > > connecter par ssh -X à mon po
; Bonjour,
>
> Tu as essayé activer/désactiver l'accélération matérielle dans ton
> navigateur ?
>
>
> On 08/28/2017 09:33 AM, Thierry Despeyroux wrote:
> > Bonjour,
> >
> > j'avais l'habitude dans les versions précédentes de Debian de me
> > connecter pa
Bonjour,
Tu as essayé activer/désactiver l'accélération matérielle dans ton
navigateur ?
On 08/28/2017 09:33 AM, Thierry Despeyroux wrote:
Bonjour,
j'avais l'habitude dans les versions précédentes de Debian de me
connecter par ssh -X à mon portable pro depuis ma station perso, et tout
Bonjour,
j'avais l'habitude dans les versions précédentes de Debian de me
connecter par ssh -X à mon portable pro depuis ma station perso, et tout
marchait nikel. Sauf pour les videos dans firefox, je ne remarquais
aucun ralentissement notable par rapport à aller directement sur
l'écran du
DROP)
> >
> > Euh ... ports accessibles avec cette policy ;), m'étonnerai
> > beaucoup !
> >
> > > [...]
> > > ACCEPTtcp -- anywhereanywhere tcp dpt:ssh
> > > [...]
> >
> > ssh est le service soit le port 22. I
h ... ports accessibles avec cette policy ;), m'étonnerai beaucoup !
>>> [...]
>>> ACCEPTtcp -- anywhereanywhere tcp dpt:ssh
>>> [...]
>> ssh est le service soit le port 22. Il faut rajouter ton port.
>
> OK, merci, j'ignorais qu'il fallait expliciteme
serveur :
# iptables -L
Chain INPUT (policy DROP)
Euh ... ports accessibles avec cette policy ;), m'étonnerai beaucoup !
[...]
ACCEPTtcp -- anywhereanywhere tcp dpt:ssh
[...]
ssh est le service soit le port 22. Il faut rajouter ton port.
OK, merci, j'ignorais qu'il fallait
Oui tu as spécifié :ssh
Ce qui signifie explicitement le port 22 uniquement.
Rajoute la même avec :
Jean-Bernard YATA via mobile
Groupe ACE SI
Consultant Sécurité des Systèmes d'Information
Lead Auditor ISO 27001
Pentester | Hackeur Éthique
Enseignant Universitaire en Sécurité
)
Euh ... ports accessibles avec cette policy ;), m'étonnerai beaucoup !
[...]
ACCEPTtcp -- anywhereanywhere tcp dpt:ssh
[...]
ssh est le service soit le port 22. Il faut rajouter ton port.
--
Daniel
Le 03/08/2017 à 10:26, Yatajb a écrit :
Un firewall ?
Je n'ai pas bidouillé le pare-feu, donc par défaut tous les ports sont
accessibles non ?
Voici un extrait de la config du pare-feu sur le serveur :
# iptables -L
Chain INPUT (policy DROP)
[...]
ACCEPTtcp -- anywhereanywhere
amy Mezani <samy.mez...@wanadoo.fr> a écrit :
>
> Bonjour,
>
> J'ai un serveur ssh qui fonctionne habituellement sur le port classique 22.
> Je souhaite dans l'immédiat ajouter un autre port d'écoute, par exemple le
> .
>
> J'ajoute la ligne 'Port ' sous l
Bonjour,
J'ai un serveur ssh qui fonctionne habituellement sur le port classique 22.
Je souhaite dans l'immédiat ajouter un autre port d'écoute, par exemple
le .
J'ajoute la ligne 'Port ' sous la ligne 'Port 22' dans le fichier
/etc/sshs/sshd_config.
Je redémarre le serveur ssh, je
- Mail original -
> De: "Wallace" <wall...@morkitu.org>
> À: debian-user-french@lists.debian.org
> Envoyé: Mardi 25 Avril 2017 15:44:40
> Objet: Re: supprimer une clé ssh périmée
>
> Bonjour,
>
> Tu ne confonds pas avec l'empreinte d'un serveur
Bonjour,
Tu ne confonds pas avec l'empreinte d'un serveur distant?
Si oui c'est ssh-keygen -R avec en argument le fqdn et les IP du serveur.
Le 25/04/2017 à 15:16, bernard.schoenac...@free.fr a écrit :
> bonjour,
>
> j'ai oublié la commande qui permet de mettre une clé périmée
bonjour,
j'ai oublié la commande qui permet de mettre une clé périmée en *.old
merci de votre aimable attention
slt
bernard
Le 06/03/2017 à 11:27, Sébastien NOBILI a écrit :
Bonjour,
Le dimanche 05 mars 2017 à 18:38, Jean-Claude MARQUES a écrit :
PermitRootLogin no
Là on désactive complètement la possibilité de se connecter au compte « root »,
ce qui n’est pas l’objectif de la manipulation proposée. Pour permettre
:
Un ls - ld de ~/.ssh/ renvoi :
-rw--- 1 root root 3774 janv. 9 13:01 known_hosts
ce qui fait qu'en tant qu'utilisateur je ne peux modifier ce fichier. Que
faire ?
Il faut rendre le fichier à son propriétaire. Ça se fait avec la commande
« chown » à
Le lundi 06 mars 2017 à 11:39, contact a écrit :
>Un ls - ld de ~/.ssh/ renvoi :
>
>-rw--- 1 root root 3774 janv. 9 13:01 known_hosts
>
>ce qui fait qu'en tant qu'utilisateur je ne peux modifier ce fichier. Que
>faire ?
Il faut rendre le fichier à son p
Dans le cadre de connexion ssh, j'ai
généré un couple de clef avec ssh-keygen.
installé un morceau sur le serveur sur lequel je souhaite
avoir accès.
Depuis lors d'une connexion ssh je n'ai plus de demande de mot de
passe, cependant j'ai un
Bonjour,
Le dimanche 05 mars 2017 à 18:38, Jean-Claude MARQUES a écrit :
> PermitRootLogin no
Là on désactive complètement la possibilité de se connecter au compte « root »,
ce qui n’est pas l’objectif de la manipulation proposée. Pour permettre une
connexion uniquement par clé, il faut plutôt
Le 05/03/2017 à 11:37, David S. a écrit :
Le 04.03.2017 16:06, Alex PADOLY a écrit :
Bonjour à tous,
Je dois me connecter à un serveur dédié dans lequel est installé
Debian 8. Mon laptop utilise Debian 7.8. J'ai installé ssh.
Dans une fenêtre terminal, je tape
ssh root@123.456.789.10
Le 04.03.2017 16:06, Alex PADOLY a écrit :
Bonjour à tous,
Je dois me connecter à un serveur dédié dans lequel est installé
Debian 8. Mon laptop utilise Debian 7.8. J'ai installé ssh.
Dans une fenêtre terminal, je tape
ssh root@123.456.789.10
L'adresse que j'ai indiqué esrt adresse ficive.
Le
Le 17229ième jour après Epoch,
Alex PADOLY écrivait:
> Bonjour à tous,
>
> Je dois me connecter à un serveur dédié dans lequel est installé
> Debian 8. Mon laptop utilise Debian 7.8. J'ai installé ssh.
>
> Dans une fenêtre terminal, je tape
>
> ssh root@123.456.789.10
>
avez-vous essayé l'option -v de ssh
man ssh
JB
Le samedi 04 mars 2017 à 15:06 +, Alex PADOLY a écrit :
> Bonjour à tous,
>
> Je dois me connecter à un serveur dédié dans lequel est installé
> Debian
> 8. Mon laptop utilise Debian 7.8. J'ai installé ssh.
>
> Dans
Sat, 04 Mar 2017 15:06:22 +
Alex PADOLY <apado...@padoly.besaba.com> écrivait :
> Bonjour à tous,
salut Alex,
>
> Je dois me connecter à un serveur dédié dans lequel est installé Debian
> 8. Mon laptop utilise Debian 7.8. J'ai installé ssh.
>
> Dans une fenêtre te
On 03/04/2017 04:06 PM, Alex PADOLY wrote:
Bonjour à tous,
Je dois me connecter à un serveur dédié dans lequel est installé
Debian 8. Mon laptop utilise Debian 7.8. J'ai installé ssh.
Dans une fenêtre terminal, je tape
ssh root@123.456.789.10
L'adresse que j'ai indiqué esrt adresse ficive
Bonjour à tous,
Je dois me connecter à un serveur dédié dans lequel est installé Debian
8. Mon laptop utilise Debian 7.8. J'ai installé ssh.
Dans une fenêtre terminal, je tape
ssh root@123.456.789.10
L'adresse que j'ai indiqué esrt adresse ficive.
Le système me demande un mot de passe, mais
On Tue, Nov 22, 2016 at 03:43:21PM +0100, BERTRAND Joël wrote:
> J'ai aussi constaté que si je mets mon fake-SSH sur un port inférieur à
> celui du vrai ssh, je chope quasiment toutes les attaques, celles-ci étant
> faites en incrémentant les ports.
C'est incroyable de naiv
Le 24/11/2016 09:14, Sébastien NOBILI a écrit :
En cas de rupture de la liaison pour ne pas perdre les tâches en cours.
Oui, mais il vaudrait mieux lancer screen sur la machine à dépanner et non pas
sur la « machine distante de rencontre ». Ce sera plus sûr en déplaçant le
lancement de screen
Le jeudi 24 novembre 2016 à 11:02, Raphaël POITEVIN a écrit :
> Sébastien NOBILI writes:
> > Au passage, depuis que je suis passé de screen à tmux, je n’ai plus _jamais_
> > utilisé screen (sauf lorsque tmux n’était pas disponible).
>
> On m’en a parlé plusieurs fois, il
Sébastien NOBILI writes:
> Oui, mais il vaudrait mieux lancer screen sur la machine à dépanner et non pas
> sur la « machine distante de rencontre ». Ce sera plus sûr en déplaçant le
> lancement de screen à la toute fin.
En effet, j’avais pas vu ce tédail dans son process.
Bonjour,
Le mercredi 23 novembre 2016 à 21:42, Raphaël POITEVIN a écrit :
> hamster writes:
> > Je comprend pas l'interet de screen. Si tu le fais pas, ca marche
> > aussi bien.
>
> En cas de rupture de la liaison pour ne pas perdre les tâches en cours.
Oui, mais il
hamster writes:
> Je comprend pas l'interet de screen. Si tu le fais pas, ca marche
> aussi bien.
En cas de rupture de la liaison pour ne pas perdre les tâches en cours.
--
Raphaël POITEVIN
Le 23/11/2016 18:39, bernard schoenacker a écrit :
bonjour,
grâce à yannick, j'ai pu faire un essai en grandeur nature et
c'est bon ...
je récapitule :
la machine à dépanner se connecte sur un ordi tiers :
ssh -nNT -R 1103:localhost:22 lui@"machine distan
On Sun, 20 Nov 2016 15:57:19 +0100
hamster <hams...@suna.fdn.fr> wrote:
> Le 20/11/2016 15:12, bernard schoenacker a écrit :
> > je pose le problème, je souhaite que un novice puisse se
> > connecter à l'une de mes machines
> >
> > ssh user@serveur
Sébastien Dinot a écrit :
Bonjour,
- Mail original -
Ça ne sert strictement à rien.
Je ne serais pas aussi péremptoire : sur l'un des serveurs que j'administre,
deux instances de SSH sont en écoute sur des ports différents pour des raisons
techniques ; celle qui est sur le port
Bonjour,
- Mail original -
> Ça ne sert strictement à rien.
Je ne serais pas aussi péremptoire : sur l'un des serveurs que j'administre,
deux instances de SSH sont en écoute sur des ports différents pour des raisons
techniques ; celle qui est sur le port standard est bien p
port que le 22 pour ssh, rien
que pour éviter de pourrir les fichiers de logs avec toutes les tentatives de
connections en provenance du monde entier.
Bonjour,
Ça ne sert strictement à rien. J'ai des configurations complètement
tordues sur des connexions WIMAX (du type port ssh sur
Le 20/11/2016 à 15:12, bernard schoenacker a écrit :
On Sun, 20 Nov 2016 13:51:40 +0100
hamster <hams...@suna.fdn.fr> wrote:
Le 20/11/2016 11:44, bernard schoenacker a écrit :
bonjour,
je vais essayer de réaliser un tunnel ssh en mode reverse,
mais je ne sais pas faire ...
Le 20/11/2016 15:12, bernard schoenacker a écrit :
je pose le problème, je souhaite que un novice puisse se connecter
à l'une de mes machines
ssh user@serveur-A
moi je veut faire de même
ssh moi@serveur-A
ensuite, je souhaite pouvoir aller à son ordi par la même
On Sun, 20 Nov 2016 13:51:40 +0100
hamster <hams...@suna.fdn.fr> wrote:
> Le 20/11/2016 11:44, bernard schoenacker a écrit :
> > bonjour,
> >
> > je vais essayer de réaliser un tunnel ssh en mode reverse,
> > mais je ne sais pas faire ...
> >
> >
Le 20/11/2016 11:44, bernard schoenacker a écrit :
bonjour,
je vais essayer de réaliser un tunnel ssh en mode reverse, mais je
ne sais pas faire ...
ou que mon novice n'est pas à la hauteur ...
j'ai trouvé la doc en ligne, mais c'est très confus dans mon
esprit
Le 20/11/2016 à 11:44, bernard schoenacker a écrit :
bonjour,
je vais essayer de réaliser un tunnel ssh en mode reverse, mais je
ne sais pas faire ...
ou que mon novice n'est pas à la hauteur ...
j'ai trouvé la doc en ligne, mais c'est très confus dans mon
esprit
bonjour,
je vais essayer de réaliser un tunnel ssh en mode reverse, mais je
ne sais pas faire ...
ou que mon novice n'est pas à la hauteur ...
j'ai trouvé la doc en ligne, mais c'est très confus dans mon
esprit ...
est ce que j'ai ommis quelque chose pour devoir relire
Le 19/11/2016 à 17:42, bernard schoenacker a écrit :
bonjour,
je n'arrive pas à cerner comment ouvrir le port 22 sur une freebox
révolution ...
tout le reste fonctionne très bien
Dans l'interface web de gestion FREE section routeur Redirection de ports
--
Daniel
hoisir un autre port que le 22 pour ssh, rien
que pour éviter de pourrir les fichiers de logs avec toutes les tentatives de
connections en provenance du monde entier.
signature.asc
Description: OpenPGP digital signature
bonjour,
je n'arrive pas à cerner comment ouvrir le port 22 sur une freebox
révolution ...
tout le reste fonctionne très bien
slt
bernard
--
bernard schoenacker
ossible et pratique de conserver deux clés sur sa machine (ie
espérer que le client ssh choisisse la bonne clé, par exemple) ou bien
faut-il aussitôt entamer une migration ?
Pour ma part, j'ai essayé avec "ssh-keygen -t rsa -b 2048" sur un client
Jessie et un serveur Stretch mais sans su
Le 14/04/2016 15:43, Ph. Gras a écrit :
Alors pourquoi ne pas utiliser le système sur le port 22, après tout ?
En effet, pourquoi pas. À partir du moment où le nombre de tentatives
est limité.
--
Grégory Reinbold alias nosheep
Think, live and work differently.
www.nosheep.fr -
On 2016-04-16 02:27:09 +0200, Gabriel Philippe wrote:
> 2016-04-14 11:18 GMT+02:00 Vincent Lefevre :
> > Pour ma part, ça arrive tellement souvent, que je choisis juste
> > de bannir (pendant plusieurs semaines). Après, il y a toujours
> > les logs de fail2ban pour voir les
On 2016-04-14 14:04:59 +0200, Eric wrote:
> J'ai eu il y à quelques années un serveur qui subissait des centaines de
> tentatives d'intrustion par ssh, et
> j'ai résolu le problème avec trois ligne d'iptables qui banissait pour 15
> minutes toutes ip qui échouait 3 fois à une
Le 16/04/2016 02:27, Gabriel Philippe a écrit :
2016-04-14 11:18 GMT+02:00 Vincent Lefevre :
Pour ma part, ça arrive tellement souvent, que je choisis juste
de bannir (pendant plusieurs semaines). Après, il y a toujours
les logs de fail2ban pour voir les adresses IP
2016-04-14 11:18 GMT+02:00 Vincent Lefevre :
> Pour ma part, ça arrive tellement souvent, que je choisis juste
> de bannir (pendant plusieurs semaines). Après, il y a toujours
> les logs de fail2ban pour voir les adresses IP bannies.
Mais pourquoi s'embêter à bannir? Si les
Le
> Alors de mémoire, (le serveur n'existe plus) :
>
> iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent
> --set --name SSH
> iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent
> --name SSH --update --seconds 60 --hitcount
min
sur un protocole particulier avec iptables seul. Faut dire mes
connaissances sont limitées.
Bonne journée
Alors de mémoire, (le serveur n'existe plus) :
|iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m
recent --set --name SSH iptables -I INPUT -p tcp --dport 22 -i
centaines
de tentatives d'intrustion par ssh, et
j'ai résolu le problème avec trois ligne d'iptables qui banissait pour
15 minutes toutes ip qui échouait 3 fois à une tentative de connection.
15 minutes, parce que ça suffit à empécher toute attaque de type
"force brute" et qu'il m
Le 13/04/2016 13:54, Vincent Lefevre a écrit :
> On 2016-04-11 17:05:19 +0200, Vincent wrote:
>> - config ssh ProxyCommand : https://wiki.gentoo.org/wiki/SSH_jump_host
>
> Compliqué! Je ne vois pas à quoi sert netcat.
À se connecter au serveur sshd distant.
C'est pratique car
Bonjour,
Je vais peut-être dire une bétise parce qu'étant nouvellement inscrit
sur la liste je n'ai pas le début de la discussion
J'ai eu il y à quelques années un serveur qui subissait des centaines de
tentatives d'intrustion par ssh, et
j'ai résolu le problème avec trois ligne
On 2016-04-13 15:38:17 +0200, Bertrand Orvoine wrote:
> j'avais commencé comme ça aussi, mais les listes devenaient très longues ...
> Maintenant, je n'autorise que quelques pays a se connecter en ssh sur mes
> machines, en plus de fail2ban;
>
> cf http://www.axllent.org/docs/view
On 2016-04-13 14:39:53 +0200, Grégory Reinbold wrote:
> Là on a une piste intéressante quant à la question d'alerter sur des
> tentatives d'intrusion ou sur une intrusion.
>
> Un mail avec l'IP de l'assaillant et un ban temporaire de quelques heures.
> Je pense opter pour cette solution.
Pour ma
i, mais les listes devenaient très longues ...
Maintenant, je n'autorise que quelques pays a se connecter en ssh sur mes
machines, en plus de fail2ban;
cf http://www.axllent.org/docs/view/ssh-geoip/
A+
--
Bertrand Orvoine
Là on a une piste intéressante quant à la question d'alerter sur des
tentatives d'intrusion ou sur une intrusion.
Un mail avec l'IP de l'assaillant et un ban temporaire de quelques
heures. Je pense opter pour cette solution.
A voir si cela peut être complété avec logcheck pour plus de
On 2016-04-11 17:05:19 +0200, Vincent wrote:
> - config ssh ProxyCommand : https://wiki.gentoo.org/wiki/SSH_jump_host
Compliqué! Je ne vois pas à quoi sert netcat.
--
Vincent Lefèvre <vinc...@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML
r les IPs…
>
> Du genre en préfixant la clef dans ~/.ssh/authorized_keys d'un :
> from="123.45.67.89"
>
> cf : man authorized_keys, section AUTHORIZED_KEYS FILE FORMAT
>
> Cette méthode fonctionne bien sûre que sur les IPs fixe, et donc ne sert
> à rien dans le cas d
Le 13 avril 2016 à 13:38, Vincent Lefevre a écrit :
>
> ou peut-être les deux.
Je confirme, il est paramétré comme ça chez nous.
bonne journée
__
Éric Dégenètais
Henix
http://www.henix.com
http://www.squashtest.org
On 2016-04-11 15:14:42 +0200, honeyshell wrote:
> Je ne sais pas si il existe un script qui avertit par mail en cas
> d'échec répétitifs détectés par Fail2ban sur la passphrase?
Avec fail2ban, on peut normalement choisir l'action à effectuer en
cas d'échecs répétitifs. Par défaut, l'IP est
On 2016-04-11 14:08:52 +0200, Sébastien NOBILI wrote:
> Le lundi 11 avril 2016 à 12:38, Vincent Lefevre a écrit :
> > On 2016-04-08 14:26:03 +0200, Sébastien NOBILI wrote:
> > > Je ne parlais pas de chiffrer les clés SSH, mais de chiffrer la clé USB.
> >
> > Quel es
lèges de root,
> > selon cette méthode, il faut se connecter par clé en tant qu'un
> utilisateur
> > lamda, puis escalader en tant que root.
>
> C'est ça ou lancer des commandes avec sudo. Chez nous, l'accès root via ssh
> n'est pas possible... avec un mot de passe (de toute
Bonjour,
Le lundi 11 avril 2016, afrinc a écrit...
> Brider les IPs…
> Du genre en préfixant la clef dans ~/.ssh/authorized_keys d'un :
> from="123.45.67.89"
> cf : man authorized_keys, section AUTHORIZED_KEYS FILE FORMAT
> Cette méthode fonctionne bien sûre
On 11/04/2016 13:23, Vincent Lefevre wrote:
> La seule chose que je peux voir est la connexion depuis une nouvelle
> adresse IP ou une adresse IP n'appartenant pas à un ensemble de blocs
> prédéterminés par l'utilisateur. Ce n'est pas forcément illicite, mais
> cela permet à l'utilisateur de
escalader en tant que root.
C'est ça ou lancer des commandes avec sudo. Chez nous, l'accès root via ssh
n'est pas possible... avec un mot de passe (de toute façon celui-ci fait dans
les 30 caractères environ).
Au passage, je m'étais planté dans mon message précédent, ce n'est pas
"PermitRootL
Le 11/04/2016 16:07, afrinc a écrit :
> Le 11/avril - 15:14, honeyshell a écrit :
>> Dans le cas d'une passphrase heureusement fail2ban fait le travail.
>> D'un point de vue sécurité je n'imagine pas ssh sans passphrase.
>>
>> Je ne sais pas si il existe un script
asse root existe mais il
> fait dans les ~30 caractères et je ne l'utilise jamais. De toute façon la
> connexion en tant que root via ssh est impossible (PermitRootLogin false).
> C'est juste un mot de passe spécial coup dur ;). Ensuite, tout passe par
> des paires de clés ssh. On va
Le 11/avril - 15:14, honeyshell a écrit :
> Dans le cas d'une passphrase heureusement fail2ban fait le travail.
> D'un point de vue sécurité je n'imagine pas ssh sans passphrase.
>
> Je ne sais pas si il existe un script qui avertit par mail en cas
> d'échec répétitifs détectés p
Salut
Le 11/04/2016 15:14, honeyshell a écrit :
Dans le cas d'une passphrase heureusement fail2ban fait le travail.
D'un point de vue sécurité je n'imagine pas ssh sans passphrase.
Moi si, script sshfs auto avec clé sans pass.
Je ne sais pas si il existe un script qui avertit par mail en cas
Dans le cas d'une passphrase heureusement fail2ban fait le travail.
D'un point de vue sécurité je n'imagine pas ssh sans passphrase.
Je ne sais pas si il existe un script qui avertit par mail en cas
d'échec répétitifs détectés par Fail2ban sur la passphrase?
Un script qui avertirait par mail en
cela permet à l'utilisateur de vérifier.
A une époque, et dans un contexte bien donné, j'avais bridé l'accès ssh
sur les ip publiques des administrateurs (nous étions 3).
Bon, l'un d'entre eux a refilé l'accès root à un quatrième, qui n'a pas
pu se connecter, par conséquent…
--
jm
Le lundi 11 avril 2016 à 12:38, Vincent Lefevre a écrit :
> On 2016-04-08 14:26:03 +0200, Sébastien NOBILI wrote:
> > Je ne parlais pas de chiffrer les clés SSH, mais de chiffrer la clé USB.
>
> Quel est l'intérêt de chiffrer la clé USB alors que la clé SSH est
> déjà chiffr
On 2016-04-11 00:10:21 +0200, Francois Lafont wrote:
> À partir du moment où on se fait piquer sa clé privée, comment un
> serveur pourrait-il détecter qu'une connexion ssh est illicite alors
> que justement le contrat est "seul le détenteur de la clé privée
> pourra se conne
On 2016-04-09 18:45:36 +0200, David Demonchy wrote:
> 1 machine 1 jeu de clé.
> C'est à dire que chaque serveur à sa clé, mais aussi chaque client (pc
> perso, boulot et smartphone)
> Pour résumé, j'ai 3 jeux de clés par machine qui nécessite une connexion ssh.
> Si 2 machines peuv
On 2016-04-08 14:26:03 +0200, Sébastien NOBILI wrote:
> Je ne parlais pas de chiffrer les clés SSH, mais de chiffrer la clé USB.
Quel est l'intérêt de chiffrer la clé USB alors que la clé SSH est
déjà chiffrée en standard (de manière optionnelle, mais je suppose
que l'utilisateur a choisi
201 - 300 sur 2792 matches
Mail list logo