Re: Conseils sur la sécurisation de ses accès par SSH

Le 14/04/2016 15:43, Ph. Gras a écrit : Alors pourquoi ne pas utiliser le système sur le port 22, après tout ? En effet, pourquoi pas. À partir du moment où le nombre de tentatives est limité. -- Grégory Reinbold alias nosheep Think, live and work differently. www.nosheep.fr -

Re: Conseils sur la sécurisation de ses accès par SSH

On 2016-04-16 02:27:09 +0200, Gabriel Philippe wrote: > 2016-04-14 11:18 GMT+02:00 Vincent Lefevre : > > Pour ma part, ça arrive tellement souvent, que je choisis juste > > de bannir (pendant plusieurs semaines). Après, il y a toujours > > les logs de fail2ban pour voir les

Re: Conseils sur la sécurisation de ses accès par SSH

On 2016-04-14 14:04:59 +0200, Eric wrote: > J'ai eu il y à quelques années un serveur qui subissait des centaines de > tentatives d'intrustion par ssh, et > j'ai résolu le problème avec trois ligne d'iptables qui banissait pour 15 > minutes toutes ip qui échouait 3 fois à une tentative de

Re: Conseils sur la sécurisation de ses accès par SSH

Le 16/04/2016 02:27, Gabriel Philippe a écrit : 2016-04-14 11:18 GMT+02:00 Vincent Lefevre : Pour ma part, ça arrive tellement souvent, que je choisis juste de bannir (pendant plusieurs semaines). Après, il y a toujours les logs de fail2ban pour voir les adresses IP

Re: Conseils sur la sécurisation de ses accès par SSH

2016-04-14 11:18 GMT+02:00 Vincent Lefevre : > Pour ma part, ça arrive tellement souvent, que je choisis juste > de bannir (pendant plusieurs semaines). Après, il y a toujours > les logs de fail2ban pour voir les adresses IP bannies. Mais pourquoi s'embêter à bannir? Si les

Re: Conseils sur la sécurisation de ses accès par SSH

Le > Alors de mémoire, (le serveur n'existe plus) : > > iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent > --set --name SSH > iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent > --name SSH --update --seconds 60 --hitcount 4 -j DROP > > La

Re: Conseils sur la sécurisation de ses accès par SSH

Le 14/04/2016 14:34, Grégory Reinbold a écrit : Salut et bienvenue du coup. Juste une remarque hors sujet total, mais : ça existe encore libertysurf ?! O_O Concernant IPTables c'est aussi une bonne idée, pourrais-tu partager cette config car je vois pas comment config un ban IP durant 15

Re: Conseils sur la sécurisation de ses accès par SSH

Salut et bienvenue du coup. Juste une remarque hors sujet total, mais : ça existe encore libertysurf ?! O_O Concernant IPTables c'est aussi une bonne idée, pourrais-tu partager cette config car je vois pas comment config un ban IP durant 15 min sur un protocole particulier avec iptables

Re: Conseils sur la sécurisation de ses accès par SSH

Le 13/04/2016 13:54, Vincent Lefevre a écrit : > On 2016-04-11 17:05:19 +0200, Vincent wrote: >> - config ssh ProxyCommand : https://wiki.gentoo.org/wiki/SSH_jump_host > > Compliqué! Je ne vois pas à quoi sert netcat. À se connecter au serveur sshd distant. C'est pratique car, contrairement

Re: Conseils sur la sécurisation de ses accès par SSH

Bonjour, Je vais peut-être dire une bétise parce qu'étant nouvellement inscrit sur la liste je n'ai pas le début de la discussion J'ai eu il y à quelques années un serveur qui subissait des centaines de tentatives d'intrustion par ssh, et j'ai résolu le problème avec trois ligne

Re: Conseils sur la sécurisation de ses accès par SSH

On 2016-04-13 15:38:17 +0200, Bertrand Orvoine wrote: > j'avais commencé comme ça aussi, mais les listes devenaient très longues ... > Maintenant, je n'autorise que quelques pays a se connecter en ssh sur mes > machines, en plus de fail2ban; > > cf http://www.axllent.org/docs/view/ssh-geoip/ OK

Re: Conseils sur la sécurisation de ses accès par SSH

On 2016-04-13 14:39:53 +0200, Grégory Reinbold wrote: > Là on a une piste intéressante quant à la question d'alerter sur des > tentatives d'intrusion ou sur une intrusion. > > Un mail avec l'IP de l'assaillant et un ban temporaire de quelques heures. > Je pense opter pour cette solution. Pour ma

Re: Conseils sur la sécurisation de ses accès par SSH

On Wed, Apr 13, 2016 at 01:49:06PM +0200, Vincent Lefevre wrote: [...] > à faire des échecs une fois le temps de bannissement écoulé. Dans mon > /etc/hosts.deny: > > # SEXinSEX (HK) > sshd: 43.255.190.0/24 > sshd: 43.255.191.0/24 [...] Bonjour, j'avais commencé comme ça aussi, mais les listes

Re: Conseils sur la sécurisation de ses accès par SSH

Là on a une piste intéressante quant à la question d'alerter sur des tentatives d'intrusion ou sur une intrusion. Un mail avec l'IP de l'assaillant et un ban temporaire de quelques heures. Je pense opter pour cette solution. A voir si cela peut être complété avec logcheck pour plus de

Re: Conseils sur la sécurisation de ses accès par SSH

On 2016-04-11 17:05:19 +0200, Vincent wrote: > - config ssh ProxyCommand : https://wiki.gentoo.org/wiki/SSH_jump_host Compliqué! Je ne vois pas à quoi sert netcat. -- Vincent Lefèvre - Web: 100% accessible validated (X)HTML - Blog:

Re: Conseils sur la sécurisation de ses accès par SSH

On 2016-04-11 16:07:10 +0200, afrinc wrote: > Le 11/avril - 15:14, honeyshell a écrit : > > Un script qui avertirait par mail en cas d'une connexion via une IP > > non connue serait aussi intéressant? (bien sûr brider les IP serait la > > solution idéale) > > Brider les IPs… > > Du genre en

Re: Conseils sur la sécurisation de ses accès par SSH

Le 13 avril 2016 à 13:38, Vincent Lefevre a écrit : > > ou peut-être les deux. Je confirme, il est paramétré comme ça chez nous. bonne journée __ Éric Dégenètais Henix http://www.henix.com http://www.squashtest.org

Re: Conseils sur la sécurisation de ses accès par SSH

On 2016-04-11 15:14:42 +0200, honeyshell wrote: > Je ne sais pas si il existe un script qui avertit par mail en cas > d'échec répétitifs détectés par Fail2ban sur la passphrase? Avec fail2ban, on peut normalement choisir l'action à effectuer en cas d'échecs répétitifs. Par défaut, l'IP est

Re: Conseils sur la sécurisation de ses accès par SSH

On 2016-04-11 14:08:52 +0200, Sébastien NOBILI wrote: > Le lundi 11 avril 2016 à 12:38, Vincent Lefevre a écrit : > > On 2016-04-08 14:26:03 +0200, Sébastien NOBILI wrote: > > > Je ne parlais pas de chiffrer les clés SSH, mais de chiffrer la clé USB. > > > > Quel est l'intérêt de chiffrer la clé

Re: Conseils sur la sécurisation de ses accès par SSH

Le 11 avril 2016 à 17:33, Francois Lafont a écrit : > Hello, > > On 11/04/2016 17:09, Olivier wrote: > > > Si on suppose qu'en tant qu'administrateur, les opérations à effectuer à > > distance sur une machine demandent très souvent les privilèges de root, > > selon cette

Re: Conseils sur la sécurisation de ses accès par SSH

Bonjour, Le lundi 11 avril 2016, afrinc a écrit... > Brider les IPs… > Du genre en préfixant la clef dans ~/.ssh/authorized_keys d'un : > from="123.45.67.89" > cf : man authorized_keys, section AUTHORIZED_KEYS FILE FORMAT > Cette méthode fonctionne bien sûre que sur les IPs fixe, et

Re: Conseils sur la sécurisation de ses accès par SSH

On 11/04/2016 13:23, Vincent Lefevre wrote: > La seule chose que je peux voir est la connexion depuis une nouvelle > adresse IP ou une adresse IP n'appartenant pas à un ensemble de blocs > prédéterminés par l'utilisateur. Ce n'est pas forcément illicite, mais > cela permet à l'utilisateur de

Re: Conseils sur la sécurisation de ses accès par SSH

Hello, On 11/04/2016 17:09, Olivier wrote: > Si on suppose qu'en tant qu'administrateur, les opérations à effectuer à > distance sur une machine demandent très souvent les privilèges de root, > selon cette méthode, il faut se connecter par clé en tant qu'un utilisateur > lamda, puis escalader en

Re: Conseils sur la sécurisation de ses accès par SSH

Le 11/04/2016 16:07, afrinc a écrit : > Le 11/avril - 15:14, honeyshell a écrit : >> Dans le cas d'une passphrase heureusement fail2ban fait le travail. >> D'un point de vue sécurité je n'imagine pas ssh sans passphrase. >> >> Je ne sais pas si il existe un script qui avertit par mail en cas >>

Re: Conseils sur la sécurisation de ses accès par SSH

Le 9 avril 2016 à 22:38, Francois Lafont a écrit : > Bonsoir, > > Perso, voici comment je fais. Je ne sais pas si bien comme il faut ou non. > Si certains ont des remarques, je suis preneur bien sûr. > > Sur les serveurs que j'administre, le mot de passe root existe mais il

Re: Conseils sur la sécurisation de ses accès par SSH

Le 11/avril - 15:14, honeyshell a écrit : > Dans le cas d'une passphrase heureusement fail2ban fait le travail. > D'un point de vue sécurité je n'imagine pas ssh sans passphrase. > > Je ne sais pas si il existe un script qui avertit par mail en cas > d'échec répétitifs détectés par Fail2ban sur

Re: Conseils sur la sécurisation de ses accès par SSH

Salut Le 11/04/2016 15:14, honeyshell a écrit : Dans le cas d'une passphrase heureusement fail2ban fait le travail. D'un point de vue sécurité je n'imagine pas ssh sans passphrase. Moi si, script sshfs auto avec clé sans pass. Je ne sais pas si il existe un script qui avertit par mail en cas

Re: Conseils sur la sécurisation de ses accès par SSH

Dans le cas d'une passphrase heureusement fail2ban fait le travail. D'un point de vue sécurité je n'imagine pas ssh sans passphrase. Je ne sais pas si il existe un script qui avertit par mail en cas d'échec répétitifs détectés par Fail2ban sur la passphrase? Un script qui avertirait par mail en

Re: Conseils sur la sécurisation de ses accès par SSH

Bonjour, Le lundi 11 avril 2016, Vincent Lefevre a écrit... > La seule chose que je peux voir est la connexion depuis une nouvelle > adresse IP ou une adresse IP n'appartenant pas à un ensemble de blocs > prédéterminés par l'utilisateur. Ce n'est pas forcément illicite, mais > cela permet

Re: Conseils sur la sécurisation de ses accès par SSH

Le lundi 11 avril 2016 à 12:38, Vincent Lefevre a écrit : > On 2016-04-08 14:26:03 +0200, Sébastien NOBILI wrote: > > Je ne parlais pas de chiffrer les clés SSH, mais de chiffrer la clé USB. > > Quel est l'intérêt de chiffrer la clé USB alors que la clé SSH est > déjà chiffrée en standard (de

Re: Conseils sur la sécurisation de ses accès par SSH

On 2016-04-11 00:10:21 +0200, Francois Lafont wrote: > À partir du moment où on se fait piquer sa clé privée, comment un > serveur pourrait-il détecter qu'une connexion ssh est illicite alors > que justement le contrat est "seul le détenteur de la clé privée > pourra se connecter" ? Je serais

Re: Conseils sur la sécurisation de ses accès par SSH

On 2016-04-09 18:45:36 +0200, David Demonchy wrote: > 1 machine 1 jeu de clé. > C'est à dire que chaque serveur à sa clé, mais aussi chaque client (pc > perso, boulot et smartphone) > Pour résumé, j'ai 3 jeux de clés par machine qui nécessite une connexion ssh. > Si 2 machines peuvent communiquer

Re: Conseils sur la sécurisation de ses accès par SSH

On 2016-04-08 14:26:03 +0200, Sébastien NOBILI wrote: > Je ne parlais pas de chiffrer les clés SSH, mais de chiffrer la clé USB. Quel est l'intérêt de chiffrer la clé USB alors que la clé SSH est déjà chiffrée en standard (de manière optionnelle, mais je suppose que l'utilisateur a choisi une

Re: Conseils sur la sécurisation de ses accès par SSH

comment un serveur pourrait-il détecter qu'une connexion ssh est illicite alors que justement le contrat est "seul le détenteur de la clé privée pourra se connecter" ?< une politique horaire , 2 admin ... le problème a déjà été abordé et même en multiclé , les clés ont été compromises. c'est de

Re: Conseils sur la sécurisation de ses accès par SSH

On 10/04/2016 19:35, Grégory Reinbold wrote: > C'est une bonne question et j'avoue que perso je n'ai rien mis en place. Tout pareil. À partir du moment où on se fait piquer sa clé privée, comment un serveur pourrait-il détecter qu'une connexion ssh est illicite alors que justement le contrat

Re: Conseils sur la sécurisation de ses accès par SSH

On Fri, Apr 08, 2016 at 02:37:56PM +0200, honeyshell wrote: > Si tu utilises Putty tu as du te rendre compte que putty ne gère pas > la phrase de passe. Bah si, y'a même un PAGENT.EXE qui est un agent SSH pour Windows... Y.

Re: Conseils sur la sécurisation de ses accès par SSH

C'est une bonne question et j'avoue que perso je n'ai rien mis en place. J'imagine mal le jour où mes accès ssh seraient corrompus et pourtant, cela peut arriver. Tu as des suggestions de solution pour détecter l'intrusion ? Bonne fin de dimanche -_- Le 10/04/2016 13:12, honeyshell a écrit :

Re: Conseils sur la sécurisation de ses accès par SSH

Je pense que la question sur l'utilisation des clefs ssh à bien fait son tour. Chacun pourra prendre la méthode qui lui semble la plus commode et sécuritaire en fonction de l'importance des serveurs administrés. Une question reste en suspent: quelle techno avez vous mis en place pour être alerté

Re: Conseils sur la sécurisation de ses accès par SSH

Bonsoir, Perso, voici comment je fais. Je ne sais pas si bien comme il faut ou non. Si certains ont des remarques, je suis preneur bien sûr. Sur les serveurs que j'administre, le mot de passe root existe mais il fait dans les ~30 caractères et je ne l'utilise jamais. De toute façon la

Re: Conseils sur la sécurisation de ses accès par SSH

Je rejoins Grégory 1 machine 1 jeu de clé. C'est à dire que chaque serveur à sa clé, mais aussi chaque client (pc perso, boulot et smartphone) Pour résumé, j'ai 3 jeux de clés par machine qui nécessite une connexion ssh. Si 2 machines peuvent communiquer entre elles, elles ont aussi leurs jeu de

Re: Conseils sur la sécurisation de ses accès par SSH

La réponse à ta question réside dans ta réponse. Tout est question de choix, de confort, de praticité et de connaissance. Je ne suis pas un expert en sécurité et je ne prétend pas l'être. Mon niveau de connaissance dans ce domaine est limité, mais me semble suffisant pour limiter le risque.

Re: Conseils sur la sécurisation de ses accès par SSH

2 pistes de réflexion : - Ne pas exposer de services ssh tant que tu n'en a pas besoin en utilisant le port knocking. - Utiliser des sous-clés (à vérifier car je ne suis pas expert dans le domaine, mais je crois qu'il est possible de tout chiffrer à partir d'un seul emplacement) Bon courage Le 8

Re: Conseils sur la sécurisation de ses accès par SSH

>>Oui et si tu venais à perdre cette clé USB ? Toutes tes machines sont >>menacées par tes deux seules clés :) Mieux vaut-il un seul moyen sécurisé (crypté comme je l'ai dit) que l'on perde, ou multiplier les moyens de connexions (voir un ordi familliale ou pro sous surveillance ou keyloger avec

Re: Conseils sur la sécurisation de ses accès par SSH

Le 8 avril 2016 à 14:59, Grégory Reinbold a écrit : > Oui et si tu venais à perdre cette clé USB ? Toutes tes machines sont > menacées par tes deux seules clés :) > > A méditer... Je ne suis pas sûr d'avoir compris cette remarque. Pour ma part, je pensais copier 2 ou 3

Re: Conseils sur la sécurisation de ses accès par SSH

Le 8 avril 2016 à 14:37, honeyshell a écrit : > le classique : fail2ban sur les serveurs , ssh avec clef RSA, phrase > de passe, pas de connexion sur root, Sur ce point précis (connexion à root), je l'autoriserai unique par clé comme pour tous les autres utilisateurs,

Re: Conseils sur la sécurisation de ses accès par SSH

Oui et si tu venais à perdre cette clé USB ? Toutes tes machines sont menacées par tes deux seules clés :) A méditer... Le 08/04/2016 13:58, andre_deb...@numericable.fr a écrit : On Friday 08 April 2016 11:20:41 Grégory Reinbold wrote: Pour ce qui est des clés ssh à usages multiples (sur

Re: Conseils sur la sécurisation de ses accès par SSH

le classique : fail2ban sur les serveurs , ssh avec clef RSA, phrase de passe, pas de connexion sur root, autre port que 22 (sup à 1), le tout sur une clef usb bootable encryptée. Si tu utilises Putty tu as du te rendre compte que putty ne gère pas la phrase de passe. Il faut aussi générer

Re: Conseils sur la sécurisation de ses accès par SSH

Le vendredi 08 avril 2016 à 13:48, Olivier a écrit : > Comment copie-t-on une clé chiffrée ? On la colle simplement dans > authorized_keys ? En fait, je me suis mal exprimé… Je ne parlais pas de chiffrer les clés SSH, mais de chiffrer la clé USB. L’idée c’est simplement de vivre un peu mieux

Re: Conseils sur la sécurisation de ses accès par SSH

On Friday 08 April 2016 11:20:41 Grégory Reinbold wrote: > Pour ce qui est des clés ssh à usages multiples (sur plusieurs > machines), personnellement j'évite. Pour chaque nouvelle machine qui > entre dans mon scope, je créé une nouvelle clé qui lui ai dédié. > Inconvénient : en fonction du

Re: Conseils sur la sécurisation de ses accès par SSH

Le 8 avril 2016 à 11:38, Sébastien NOBILI a écrit : > Bonjour, > > Le vendredi 08 avril 2016 à 10:50, Olivier a écrit : > > - je stocke mes propres clés SSH sur une clé USB (voir plus loin) qui > comme > > mon smartphone est toujours avec moi, > > [...] > > > - en cas de

Re: Conseils sur la sécurisation de ses accès par SSH

Le 8 avril 2016 à 11:31, Daniel Huhardeaux a écrit : > Le 08/04/2016 10:50, Olivier a écrit : > >> Bonjour, >> > > Bonjour > > [...] >> - Conseils, remarques et suggestions ? >> > > . écouter sur un port différent du 22 > . utiliser autossh: les clients se connectent sur une

Re: Conseils sur la sécurisation de ses accès par SSH

Bonjour, Le vendredi 08 avril 2016 à 10:50, Olivier a écrit : > - je stocke mes propres clés SSH sur une clé USB (voir plus loin) qui comme > mon smartphone est toujours avec moi, [...] > - en cas de perte de ma clé USB ou de mon smartphone, je répudie la clé SSH > correspondante sur tous les

Re: Conseils sur la sécurisation de ses accès par SSH

Le 08/04/2016 10:50, Olivier a écrit : Bonjour, Bonjour [...] - Conseils, remarques et suggestions ? . écouter sur un port différent du 22 . utiliser autossh: les clients se connectent sur une seule machine. Cela règle le problème soulevé par Gregory dans sa réponse, une seule clé. Si

Re: Conseils sur la sécurisation de ses accès par SSH

Bonjour, Pour ce qui est des clés ssh à usages multiples (sur plusieurs machines), personnellement j'évite. Pour chaque nouvelle machine qui entre dans mon scope, je créé une nouvelle clé qui lui ai dédié. Inconvénient : en fonction du parc, tu peux te retrouver avec un grand nombre de

Conseils sur la sécurisation de ses accès par SSH

Bonjour, Je me connecte régulièrement par SSH à des serveurs sous Debian. Par habitude, j'interdis sur ces serveurs l'accès au compte root par SSH. J'accède à ces machines depuis un PC sous Debian, mais je peux plus rarement le faire depuis un PC sous Windows ou un smartphone sous Android. Je