Le samedi 31 janvier 2009 13:30, Jerome Kieffer a écrit : | On Fri, 30 Jan 2009 22:47:38 +0100 | Alain Vaugham <al...@vaugham.com> wrote: | | > Le mardi 20 janvier 2009 16:30, Paul Marques Mota a écrit : | > | Le 20 janvier 2009 08:26, Jerome Kieffer | > | <jerome.kief...@terre-adelie.org> a écrit : | > | > On Tue, 20 Jan 2009 01:48:42 +0100 | > | > Alain Vaugham <al...@vaugham.com> wrote: | > | > | > | >> J'ai listé toutes les réponses reçues : | > | >> - le changement du port du sshd | > | > | > | > C'est con, un coup de nmap et on le retrouve ton port. | > | | > | Oui. Le but de cette partie de la manip n'est pas vraiment de rajouter | > | plus de sécurité, mais de diminuer le volume des attaques. | > | | > | > Pour info : | > Il y a une semaine j'ai pu faire changer le port 22 sur la box. | > | > C'est passé brusquement de 20-22 tentatives à la minute à 0. | > Je ne consulte que les /var/log/auth.log.* | | cette méthode ne tient pas 1 minute face à un utilisateur avec nmap | en main.
Encore une fois, je ne mets pas en doute cette possibilité avec nmap. Aussi, j'ai voulu me mettre à la place d'un utilisateur avec nmap en main pour comprendre ce qui se passe. J'ai essayé différents ports d'écoute pour ssh (/etc/ssh/sshd_config) autres que le 22 sans oublier de redémarrer le service à chaque fois. J'ai vérifié mon authentification sans mot de passe avec une paire de clefs. moi_ici:$ ssh -p4443 m...@192.168.3.111 moi_labas:$ J'ai ensuite vérifié ce que donnait cette commande nmap : moi_ici: $ nmap -P0 192.168.3.111 Voici les résultats pour les 4 ports sur lesquels j'avais mis ssh : 4443 aucun port ni service ne sont affichés 4444/tcp open krb524 7234 aucun port ni service ne sont affichés 9527 aucun port ni service ne sont affichés D'après ce que j'ai compris le nom du service affiché est un nom normalisé pour les ports inférieur à 1000 ou un nom enregistré mais en attente de normalisation ou toléré (?) jusqu'à 3000 et totalement libre au délà jusqu'aux 65000 environ. Dans la syntaxe de nmap que j'ai utilisée, je constate que le résultat retourné est le nom "normalisé" du service et non le nom du service qui est réellement à l'écoute sur le port. ssh tournait sur le port 4444 bien que le nom affiché par nmap soit krb524. Au passage, j'imagine que j'ai pris un risque en choisissant 4444 au hasard. C'est visible que je ne suis pas un cador en nmap donc avec ces quatres résultats je pourrai en déduire que la victime n'a pas d'accès ssh ouvert. Inversement je pourrai me contenter de croire qu'il suffit d'utiliser un port non "répertorié/normalisé" pour masquer la présente d'un service ssh sur la victime et rendre ainsi plus difficile la tâche aux attaquants. Bien que ce soit contraire à ce qui est conseillé un peu partout de ne pas utiliser les ports normalisés, peut-on envisager de masquer la présence d'un service ssh par exemple en 80 ou en 25 (si pas de http ou de smtp)? Y a-t-il une autre syntaxe de nmap qui permette de découvrir (en moins d'une minute ;-) ) que dans mon exemple sur le port 4444, c'est bien ssh qui tourne même si c'est krb524 qui est affiché? J'ai parcouru le man de nmap mais il y a tellement de possibilités obscures pour moi que j'ai compris que je n'ai pas encore la capacité à le comprendre. -- Cordialement Alain Vaugham -------------------------------------------------------- [PUB] Signature numérique GPG de ce courrier: 0xD26D18BC
pgp66clk0xXd1.pgp
Description: PGP signature
_________________________________ Linux mailing list Linux@lists.parinux.org http://lists.parinux.org/mailman/listinfo/linux
