Discussion :

[donkeyquote]

Bonjour,

J'ai un souci de securite avec SSH qui m'a effraye , et je me demande si vous pouvez me donner un coup de main.

J'ai monte un machine qui utilise Ubuntu Server 8.10 sur laquelle j'ai monte un serveur SSH auquel j'accedais avec une autre machine Linux sur le reseau local que j'ai chez moi.

J'ai ouvert un compte sur www.no-ip.com pour povoir acceder des l'exterieur car l'ip que mon fournisseur d'internet me donne est dynamique.

J'ai donc ouvert le port 22 dans la config de mon router, et tout marchait bien.

Le souci c'est que quand j'ai voulu monitoriser le serveur je trouve le truc suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
myUser@myMachine:~$ sudo netstat -tap
 
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 *:cvspserver            *:*                     LISTEN      3954/xinetd
tcp        0      0 *:netbios-ssn           *:*                     LISTEN      32158/smbd
tcp        0      0 *:www                   *:*                     LISTEN      17074/apache2
tcp        0      0 *:ftp                   *:*                     LISTEN      16966/vsftpd
tcp        0      0 *:ssh                   *:*                     LISTEN      4422/sshd
tcp        0      0 *:microsoft-ds          *:*                     LISTEN      32158/smbd
tcp        0      0 myMachine:ssh               myUser:33932            ESTABLISHED 18432/sshd: myUser
tcp        0      0 myMachine:ssh               unknown:35791            ESTABLISHED 21764/sshd: unknown
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN      4422/sshd

Quand je ferme le port 22 je pense avoir mis dehors l'intrus...
Je trouve le suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
myUser@myMachine:~$ sudo netstat -tap
 
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 *:cvspserver            *:*                     LISTEN      3954/xinetd
tcp        0      0 *:netbios-ssn           *:*                     LISTEN      32158/smbd
tcp        0      0 *:www                   *:*                     LISTEN      17074/apache2
tcp        0      0 *:ftp                   *:*                     LISTEN      16966/vsftpd
tcp        0      0 *:ssh                   *:*                     LISTEN      4422/sshd
tcp        0      0 *:microsoft-ds          *:*                     LISTEN      32158/smbd
tcp        0      0 myMachine:ssh               myUser:33932            ESTABLISHED 18432/sshd: myUser
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN      4422/sshd

Ca veut dire quoi
tcp6 0 0 [::]:ssh [::]:* LISTEN 4422/sshd

par rapport a
tcp 0 0 *:ssh *:* LISTEN 4422/sshd

• Comment prevenir ce type de probleme ?

• Quelle est la methode correcte et securisee pour utiliser ssh pour un access de l'exterieur?

• Comment monitoriser les intrusions de facon efficace ?

• Comment savoir ce que l'intrus a pu faire sur mon systeme ?

• Comment on a pu detecter mon adresse? Ils utilisent des scanners ou quelque chose comme ca ? Quelles sont les methodes qu'ils utilisent pour hacker SSH? Je croyais que SSH etait vraiment bien securise...

Merci d'avance pour votre aide !

[jmelyn]

Bonjour,

Tu devrais regarder dans le forum sécurité, j'ai créé un fil sur le sujet. Les réponses sont instructives...

[matafan]

tcp6 0 0 [::]:ssh [::]:* LISTEN 4422/sshd c'est pour IPv6
tcp 0 0 *:ssh *:* LISTEN 4422/sshd c'est pour IPv4

C'est absolument normal. Si tu ne veux pas d'IPv6, tu peux mettre "AddressFamily" à "inet" au lieu de "any" dans /etc/ssh/sshd_config. Mais ça ne représente de toute façon aucun danger.