Discussion :

[simoryl]

Salut,

Je souhaite sécurisé un peu plus les accès ssh à mon serveur mais dans la crainte de me faire totalement jeter par lui j'aimerai que l'on me confirme la bonne configuration de sshd.config suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
#        $OpenBSD: sshd_config,v 1.59 2002/09/25 11:17:16 markus Exp $
# Blablabla commentaires
 
Port 338
#Protocol 2,1
ListenAddress 127.0.0.1
ListenAddress trucmachinchose.dyndns.org

J'ai donc changé le port par defaut et je souhaite autoriser le ssh uniquement en local et depuis mon PC (mon ip n'étant fixe, j'ai un dyndns mais je ne sais pas si c'est bien comme ça que l'on met l'host...).

De même, est-il possible de recevoir un mail lorsque une connection ssh root est effectué?

Simo'

PS : je suis sous Fedo' 2

[mrjulien]

Tu peux interdire de se logger en root déjà.

[berry]

Tu peux interdire de se logger en root déjà.

à moins que ce n'est pas déjà le cas (par défaut)

[gorgonite]

à moins que ce n'est pas déjà le cas (par défaut)

sous openbsd ce n'est pas le cas

[berry]

sous openbsd ce n'est pas le cas

sous freebsd si ....

pour le

ListenAddress 127.0.0.1

il faudrait peut-être mettre l'ip de la machine sur le reseau , non ?

[deny]

salut
voici un script qui couplé a iptables, permet de detecter des attaques via ssh,
de mettre les ips detectées dans un fichier et de les desactiver dans la foulée

http://linuxgazette.net/137/takefuji.html

je suis en train de traduire , si tu as un prblème avec l'anglais
a+

[simoryl]

Je suis sous Fedora Core 2, j'ai besoin de l'accès root car le serveur est à X00km de chez moi et pour administrer, je peux pas être devant.
J'aimerai néanmoins que :
- sur son réseau local, il accepte le ssh root pour quand je suis sur le réseaux local (chose rare) sachant que je n'ai jamais la même adresse ip quand j'y suis (lol)
- depuis chez moi, il m'accepte en ssh root. N'ayant pas d'ip fixe, j'ai configuré un dyndns pour que le trucmachinchose.dyndns.org possède mon adresse ip du moment.

Je voulais donc savoir si ceci était correct :
ListenAddress 192.168.0.xx
ListenAddress trucmachinchose.dyndns.org

Je ne sais pas trop si le nom de domaine peut être mis ainsi?

Sinon, en effet, 127.0.0.1 c'était une grosse lol

Simo'

PS : Deny-> je vais jetter un coup d'oeil sur ton script

[berry]

ListenAddress trucmachinchose.dyndns.org

> lorsque le serveur voudra connaitre ton DNS à partir de ton ip, c'est qu'il verra ça sera par exemple dyn-x-y-z-w-ppp-tiscali (pour tiscali) ou l'équivalent pour les autres FAI.

ce n'est pas sur que ça fonctionne mais tu peux essayer.

[toto019]

Je suis sous Fedora Core 2, j'ai besoin de l'accès root car le serveur est à X00km de chez moi et pour administrer, je peux pas être devant.
J'aimerai néanmoins que :
- sur son réseau local, il accepte le ssh root pour quand je suis sur le réseaux local (chose rare) sachant que je n'ai jamais la même adresse ip quand j'y suis (lol)
- depuis chez moi, il m'accepte en ssh root. N'ayant pas d'ip fixe, j'ai configuré un dyndns pour que le trucmachinchose.dyndns.org possède mon adresse ip du moment.

N'autorises pas le root à se loguer en SSH directement !!! Tu crées un compte utilisateur, sous lequel tu te logueras via SSH. Une fois logué, tu passes en root via la commande "su"

[herzleid]

Comme dit par toto019, tu refuse root, mais tu donne à un user la possibilité de le devenir via la commande su.
C'est très important qar beaucoup d'ayttaquant essais de forcer le mdp root. En interdisant sa connexion tu évite qu'ils percent ton mdp.

Après tu peux configurer ton iptables pour dropper l'adresse ip après x tentatives de connections infructueuses (chez moi 4).
Tu peux limiter le temps à l'identification (genre chez moi tu dispose de 10 secondes pour entrer ton user mot de passe. Sachant que la première fois tu récupère le fichier renvoyé par ssh, c'est tres court pour un attaquant).

Ensuite tu peux mettre en place le programme fail2ban qui black liste automatiquement après 3 tentatives. C'est un poil redondant, mais l'avantage de fail2ban est qu'il marche aussi pour le http, le ftp et d'autres.

Avec ces mesures, je suis rendu à 3 ou 4 attaques max par soir sur mon ssh, laissé en port 22 pour les agacer. Bien sur aucune de ces attaques n'a percée ma sécuritée.

Voila, au besoin demain je mettrai mes regles iptables (là je suis au taf et j'ai pas accès à mon ssh).

Pour finir, j'ai uniquement un user appartenant au groupe wheel. Mon server est sous Gentoo.

[Katyucha]

N'autorises pas le root à se loguer en SSH directement !!! Tu crées un compte utilisateur, sous lequel tu te logueras via SSH. Une fois logué, tu passes en root via la commande "su"

quelqu'un l'a dit

Une solution d'ailleurs pour toi, c'est d'en plus de ne permettre de t'y connecter que via une clé privée/publique RSA !
Tu trouveras ici un tutoriel

En gros, ton serveur trucmachine aura un utilisateur dans le groupe wheel. Tu implémente ta clé public dans son ~/.ssh/authorized_key
Tu protéges ta clé privée par une passphrase.

si tu es sous windows, utilise putty keygen pour crée ta clé privée et publique.
Charge ta privée avec putty agent et met ta clé publique dans ~/.ssh/authorized_key du compte toto
Plus qu'à lancer putty et taper le user : toto
Connexion immédiate

Le fin du fin, une fois que ta liaison RSA fonctionne :
Sous sshd_config :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

PasswordAuthentication No

Et tu n'autorises que les dédenteurs d'une clé RSA validée et spécifié à se connecter

Tu peux dormir sur tes deux oreilles

C'pas la classe ?