Discussion :

[LampeRouge]

Bonjour.
Je ne suis pas informaticien mais je m'intéresse. J'ai créé un systeme de sauvegarde décentralisé sans passer par un cloud que je trouve trop permissif. J'ai donc installé un raspberry et un DD chez un particulier de confiance.
Je viens de tenter une sauvegarde en SSH de mes données sur un raspi délocalisé. Je reçois le message:

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
[adresse mac]
Please contact your system administrator.
Add correct host key in /home/thierry/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/thierry/.ssh/known_hosts:3
Password authentication is disabled to avoid man-in-the-middle attacks.
Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks.
X11 forwarding is disabled to avoid man-in-the-middle attacks.

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Mon Jul 11 23:05:04 2016 from [ip].rev.sfr.net

La connexion en SSH n'a pas fonctionné immédiatement. J'ai donc testé la connexion
ping: OK
Puis un wget sauvegarde:2222 qui m'a permis de savoir que le port fonctionne
puis au bout d'un moment, la connexion s'est faite. Je fais un tour dans mes données par un simple "ls" et je trouve un drôle de truc genre.

thierry@192.168.1.30

A tout hasard j'ai fait un cat thierry@192.168.1.30 mais je n'ai reçu aucune réponse.
Cet espèce de fichier bizarre et non désiré, me fait penser à une intrusion.
L'adresse ne me correspond car sur le LAN ce n'est pas moi qui serait visé par cette adresse, mais j'ai retrouvé cette ligne dans mes données...( Ca c'est bizarre)
Je l'ai supprimé mais je ne m'explique pas la présence de ce fichier. Peut être un botnet ?

Ma question est de savoir par où ça a passé?
Voici ma conf:

Je n'ai que le port 22 d'ouvert sur le LAN. J'ai encore vérifié avec un nmap
Des clés ont été générées.

Ce raspi est placé chez un particulier donc sur un LAN peu protégé. Serait ce une possibilité d'intrusion? Il y a une règle NAT sur la box pour le changement de port.
Comment verrouiller nos données.

J'aimerais en connaître davantage en sécurité et si quelqu'un veut bien me conseiller il sera toujours le bienvenu.

Personnellement je pense que la meilleure des sécurités serait d'utiliser les blockschains en P2P mais nous n'y sommes pas encore.

[BufferBob]

salut,

en gros ton ssh (sur ta machine, le client, pas coté serveur) te dit que la machine "sauvegarde" a changé d'adresse IP, ça peut être le fait de pleins de choses, un nouveau bail dhcp, la machine a été migrée, etc. ou éventuellement un pirate intercepte le trafic en mettant sa békane au milieu et en se faisant passer pour "sauvegarde" - de toi à moi, c'est tout de même très rarement le cas, surtout pour les particuliers, c'est plus souvent le fait d'erreurs de type "pebkac"

concrètement -et si tu finis par acquérir la certitude qu'il s'agissait d'une erreur et non d'un pirate- la manip consiste à enlever du fichier ~/.ssh/known_hosts la ligne qui correspond à la machine "sauvegarde", au besoin (si "amarch pas, jarriv pas") effacer le fichier dans son intégralité, relancer la/les connexions vers les différents serveurs et répondre 'yes' pour chacun

[LampeRouge]

Je te remercie de ton avis expérimenté. Ce qui me chagrine est que j'ai retrouvé un fichier s'appelant thierry@192.168.1.30 Je me demande ce qui pourrait générer une telle chose.
Comme ce raspberry est branché sur une box SFR et ce FAI change de temps en temps les IP je vais donc retrouver régulièrement avec ce problème ???
Merci de ton aide.

[LittleWhite]

Bonjour,

Pour les fichiers nommés USER@IP, c'est (pour ma part) souvent un fail dans la commande scp. Par exemple, un scp comme suit :

scp ./fichier_a_copier USER@IP

Va copier le fichier à copier dans un fichier USER@IP, sur la machine locale.

[LampeRouge]

Merci LittleWhite Je t'ai mis un +1.
Je clos le sujet.