#1 Le 24/03/2013, à 16:01
- Nicoo
[résolu] bloquer toute connexion SSH venant d'internet
Bonjour,
j'utilise SSH en local. J'ai besoin de me connecter en root car mon serveur est en mode «headless» (pas d'écran) ce matin je me connecte et je vois :
Last login: Sat Mar 23 22:23:02 2013 from 180008004034.bhb.bizhosting.net
bon ben ça c'est pas moi...
je n'avais pas touché à iptable, car mon réseau local est connecté à un plus gros réseau local par lequel transite ma conec internet, je pensais que ce «super réseau» me protéger... donc voilà pour la situation «réseaupolitique» (mot inventé par moi, sous licence WTFPL...).
au niveau de mes interfaces réseau serveur j'ai eth0 qui est utilisé pour la connexion avec mon PC client. Et eth1 qui se connecter au «super réseau» et c'est cette interface qu'il me faut bloquer.
donc j'ai pour le moment modifié iptables comme tel :
1) on efface tout, même si en pratique il n'y a rien...
iptables -F
2) je bloque eth1
iptables -A INPUT -p tcp -i eth1 --dport ssh -j REJECT
ce qui me donne :
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ditent moi ce que vous en pensez, ce qu'il faut ajouter ou enlever, en sachant que ma grosse contrainte est que je n'ai pas d'écran... si je bloque la connexion pour le client je suis obligé de sortir le DD et de le connecter en USB sur le client (p.s. le client est un portable...)
Dernière modification par Nicoo (Le 25/03/2013, à 20:54)
HEAVY METAL RULES THIS F******G WORLD
Hors ligne
#2 Le 24/03/2013, à 21:35
- jplemoine
Re : [résolu] bloquer toute connexion SSH venant d'internet
Je pense qu'il y a plus simple que de "jouer" avec les iptables : modifier le fichier /etc/ssh/sshd_config.
Il y a une option listen qui doit permettre de limiter à l'interface voulue.
Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.
Hors ligne
#3 Le 24/03/2013, à 21:38
- sechanbask
Re : [résolu] bloquer toute connexion SSH venant d'internet
Bonjour,
Si tu veux bloquer tout le trafic venant d'internet, il faut fermer tout les ports de ta box.
Accessoirement si tu utilises SSH, il faut un vrai compte UNIX compliqué, un vrai mot de passe compliqué, et là clairement puisque quelqu'un s'est connecté, ton système peut être corrompu.
En gros, moi je réinstallerai et je n'utiliserai jamais sudo car il supprime une authentification !!
Hors ligne
#4 Le 25/03/2013, à 00:14
- Nicoo
Re : [résolu] bloquer toute connexion SSH venant d'internet
Bonjour,
Si tu veux bloquer tout le trafic venant d'internet, il faut fermer tout les ports de ta box.
Accessoirement si tu utilises SSH, il faut un vrai compte UNIX compliqué, un vrai mot de passe compliqué, et là clairement puisque quelqu'un s'est connecté, ton système peut être corrompu.
En gros, moi je réinstallerai et je n'utiliserai jamais sudo car il supprime une authentification !!
tu n'as pas du lire ce que j'ai écris, (pourtant j'écris bien au clavier, tu peux pas dire que mon écriture est illililisible...) en fait je n'ai pas de "box" où alors ma box est une très grosse box... puisque mon câble va droit dans le mur... (au sens propre du terme, non figuré) et j'ai besoin de root car mon pc est «headless» i.e. sans tête sans écran (en français) écransan (en verlant) donc si je veux installer un truc sans avoir root ça risque d'être pas facil...
Je pense qu'il y a plus simple que de "jouer" avec les iptables : modifier le fichier /etc/ssh/sshd_config.
Il y a une option listen qui doit permettre de limiter à l'interface voulue.
bingo, dans sshd_config j'ai activé
ListenAddress 123.123.123.123
où 123.123.123.123 est l'ip de la carte réseau local. Pour ceux qui lisent ça dans le but de trouver une réponse, dans mon cas l'ip est statique, ça serait facheux de se retrouver avec une ip différente après un redémarrage... oui, très facheux... surout sans écran pour le pc....
HEAVY METAL RULES THIS F******G WORLD
Hors ligne
#5 Le 25/03/2013, à 17:28
- sechanbask
Re : [résolu] bloquer toute connexion SSH venant d'internet
j'ai sens doute lu un peu trop vite, mais pour le sudo je persiste et signe de ne pas utiliser sudo mais su !
et t'interdire la connexion root comme expliqué ici :
Hors ligne
#6 Le 25/03/2013, à 20:55
- Nicoo
Re : [résolu] bloquer toute connexion SSH venant d'internet
j'utilise su
pour être plus précis je n'ai pas sudo, je n'aime pas ça j'aime bien que root soit root avec un passe propre à root
Dernière modification par Nicoo (Le 25/03/2013, à 21:04)
HEAVY METAL RULES THIS F******G WORLD
Hors ligne