Limité l'accès via SSH

khattab · Le 04/02/2013, à 11:16

Bonjour

je suis pas expert dans le domaine de Linux, d'où je veut limiter l'accès à mon serveur dédié via SSH et que seule mon IP a le droit d'y accéder, puisque j'ai rencontré plusieurs tentative d'attaque, j'ai trouvé qu'il faut écrire des règle dans les fichier hosts.deny et hosts.allow

est ce c'est fonctionnel
dans hosts.deny : ALL: ALL
dans hosts.allow: ALL: mon_ip

sachant que mon IP n'est pas fixe (dynamique)

merci pour votre aide. c'est très urgent

Brunod · Le 04/02/2013, à 11:34

Non, pas si ton ip est dynamique.
Quel est ton système de clé pour accéder au ssh ?

compte supprimé · Le 04/02/2013, à 11:44

Le filtrage par ip si tu es en ip dynamique , c'est du suicide ... Je serais toi (même si je ne suis pas admin), j'enlèverais l'accès à root, mettrais un mot de passe qui tient la route, ne donnerais l'acces qu'a moi , et utiliserais fail2ban pour limiter le nombre de tentative.

Et si tu veux une couche supplémentaire tu peux voir du côté des certificats ...

NB: mettre que c'est urgent n'apporte pas de réponse plus rapide et a plus tendance à agacer

edit : désolé bruno, croisage de message ...

Dernière modification par sogyam (Le 04/02/2013, à 11:52)

khattab · Le 04/02/2013, à 12:22

j'enlèverais l'accès à root

peut-je accéder via sftp dans ce cas ?

tiramiseb · Le 04/02/2013, à 12:53

Des tentatives d'attaque il y en a en permanence... Tant que ton système est à jour et ton accès bien sécurisé, alors il n'y a pas vraiment de risque (cf plus bas).

Tu peux toujours empêcher la connexion en SSH par root (dans la config de SSH), mais bon parfois ça fait ch... plus qu'autre chose...

Si ton IP est fixe (genre chez Free), alors le mieux c'est de mettre un firewall pour n'autoriser que tes connexions sur le port 22. Mais bon, si jamais tu dois accéder à ton serveur à partir de chez quelqu'un d'autre, là tu ne peux plus rien faire... Pour mes serveurs j'y avais réfléchi mais ça me poserait plus de problèmes qu'autre chose...

Pour que ce soit bien sécurisé, mets un mot de passe à rallonge avec plein de caractères bizarres à tes comptes et utilise une clé SSH : clé privée avec phrase de passe sur ton PC, clé publique sur les comptes auxquels tu veux te connecter.
En plus, avec ça tu profiteras de l'agent SSH, tu n'auras à entrer ta phrase de passe qu'une fois, etc.

Info en exclu : un article est à venir très prochainement dans un magazine de la presse Linux française, exactement à ce sujet

Dernière modification par tiramiseb (Le 04/02/2013, à 12:56)

Funigtor · Le 04/02/2013, à 14:16

Tu peux aussi changer le port de SSH pour mettre quelque chose de plus exotique.

tiramiseb · Le 04/02/2013, à 14:27

Funigtor a écrit :

Tu peux aussi changer le port de SSH pour mettre quelque chose de plus exotique.

En effet, ça permet d'éviter les tentatives de connexions automatiques. Chez un de mes ex-employeurs on faisait ça.

Ça ne protège pas contre une attaque ciblée, mais ça arrête plein de tentatives

Haleth · Le 04/02/2013, à 21:33

Info en exclu : un article est à venir très prochainement dans un magazine de la presse Linux française, exactement à ce sujet

T'es auteur ? C'est quoi comme magazine

tiramiseb · Le 04/02/2013, à 21:40

Je suis désolé, je ne peux pas donner plus d'info pour le moment

compte supprimé · Le 04/02/2013, à 22:31

j' attend avec impatience, car je crois deviner, et je suis abonné !

khattab · Le 05/02/2013, à 10:31

bonjour,
j'ai désactivé l'accès root , changé le port et j'ai crée un autre utilisateur, c'est bien fonctionnel
le problème est quand je veut me connecter via sftp et télécharger des dossier avec ce dernier utilisateur ne fonctionne pas correctement
doit-je donner des privilèges à ce dernier utilisateur ?

tiramiseb · Le 05/02/2013, à 10:33

En effet si tu veux transférer des fichiers vers des dossiers système tu ne peux pas le faire avec cet utilisateur. Et lui donner les droits n'est pas une bonne solution, c'est très risqué.
C'est pour ça que de mon côté je préfère laisser l'accès à root mais mettre une authentification par clé, plus sécurisée.

Dans le cas où tu es actuellement, il faut transférer les fichiers avec l'utilisateur puis te connecter en SSH puis passer en root puis copier les fichiers en ligne de commande.

khattab · Le 05/02/2013, à 12:18

j'ai ajouté l'utilisateur au groupe root et ça bien fonctionné
merci

Brunod · Le 05/02/2013, à 12:29

Donc, pour ne pas donner l'accès à root tu crées un nouvel utilisateur qui aura l'accès; puis comme ça ne suffit pas, tu le remets dans le groupe root...
Quel est l'intérêt de ce nouvel utilisateur alors ?

kironux · Le 08/02/2013, à 12:40

Bah, étant donné que bon nombre de bots sont configurés pour tenter l'accès avec le login root, ça permet d'avoir un compte avec les mêmes droits, mais avec un pseudonyme différent (c'est très légèrement plus sécurisé que de laisser l'accès root par défaut).

tiramiseb · Le 08/02/2013, à 12:46

Si vraiment c'était vrai, autant changer le nom de "root" directement, non ?

Mais tant que le mot de passe est bien secure (*) (voire interdit en SSH au profit d'une authentification exclusive par clé) ou que la connexion SSH est interdite pour root, il n'y a aucun risque à garder "root"...

Autre possibilité de se prémunir des tentatives des bots et qui permet en plus de ne pas avoir plein de trucs dans les logs, c'est de changer le port de SSH.

(*) : « 123AZerTY!! » est un mot de passe faible (si si), « J'Adore le Chocolat !!! » est un mot de passe quasiment incassable

Haleth · Le 08/02/2013, à 13:35

Changer le port ssh, c'est aussi une pratique louche à mes yeux..
Pour ne pas tomber dans la parano, il te suffit de mettre un fail2ban.
Aucune chance d'obtenir un accès sans la brute-force.

tiramiseb · Le 08/02/2013, à 13:38

Changer le port ssh, c'est aussi une pratique louche à mes yeux..

Ça permet surtout d'éviter plein de logs de tentatives ratées
Du coup les tentatives "sérieuses" (donc ne provenant pas d'un bot) ne sont pas perdues au milieu d'un amas de tentatives de bots et sont plus facilement identifiables.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 04/02/2013, à 11:16

Limité l'accès via SSH

#2 Le 04/02/2013, à 11:34

Re : Limité l'accès via SSH

#3 Le 04/02/2013, à 11:44

Re : Limité l'accès via SSH

#4 Le 04/02/2013, à 12:22

Re : Limité l'accès via SSH

#5 Le 04/02/2013, à 12:53

Re : Limité l'accès via SSH

#6 Le 04/02/2013, à 14:16

Re : Limité l'accès via SSH

#7 Le 04/02/2013, à 14:27

Re : Limité l'accès via SSH

#8 Le 04/02/2013, à 21:33

Re : Limité l'accès via SSH

#9 Le 04/02/2013, à 21:40

Re : Limité l'accès via SSH

#10 Le 04/02/2013, à 22:31

Re : Limité l'accès via SSH

#11 Le 05/02/2013, à 10:31

Re : Limité l'accès via SSH

#12 Le 05/02/2013, à 10:33

Re : Limité l'accès via SSH

#13 Le 05/02/2013, à 12:18

Re : Limité l'accès via SSH

#14 Le 05/02/2013, à 12:29

Re : Limité l'accès via SSH

#15 Le 08/02/2013, à 12:40

Re : Limité l'accès via SSH

#16 Le 08/02/2013, à 12:46

Re : Limité l'accès via SSH

#17 Le 08/02/2013, à 13:35

Re : Limité l'accès via SSH

#18 Le 08/02/2013, à 13:38

Re : Limité l'accès via SSH

Pied de page des forums