Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 24/03/2013, à 16:01

Nicoo

[résolu] bloquer toute connexion SSH venant d'internet

Bonjour,
j'utilise SSH en local. J'ai besoin de me connecter en root car mon serveur est en mode «headless» (pas d'écran) ce matin je me connecte et je vois :

Last login: Sat Mar 23 22:23:02 2013 from 180008004034.bhb.bizhosting.net

bon ben ça c'est pas moi...

je n'avais pas touché à iptable, car mon réseau local est connecté à un plus gros réseau local par lequel transite ma conec internet, je pensais que ce «super réseau» me protéger... donc voilà pour la situation «réseaupolitique» (mot inventé par moi, sous licence WTFPL...).

au niveau de mes interfaces réseau serveur j'ai eth0 qui est utilisé pour la connexion avec mon PC client. Et eth1 qui se connecter au «super réseau» et c'est cette interface qu'il me faut bloquer.

donc j'ai pour le moment modifié iptables comme tel :
1) on efface tout, même si en pratique il n'y a rien...

iptables -F

2) je bloque eth1

iptables -A INPUT -p tcp -i eth1 --dport ssh -j REJECT

ce qui me donne :

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
REJECT     tcp  --  anywhere             anywhere             tcp dpt:ssh reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

ditent moi ce que vous en pensez, ce qu'il faut ajouter ou enlever, en sachant que ma grosse contrainte est que je n'ai pas d'écran... si je bloque la connexion pour le client je suis obligé de sortir le DD et de le connecter en USB sur le client (p.s. le client est un portable...)

Dernière modification par Nicoo (Le 25/03/2013, à 20:54)

HEAVY METAL RULES THIS F******G WORLD

Hors ligne

#2 Le 24/03/2013, à 21:35

jplemoine

Re : [résolu] bloquer toute connexion SSH venant d'internet

Je pense qu'il y a plus simple que de "jouer" avec les iptables : modifier le fichier /etc/ssh/sshd_config.
Il y a une option listen qui doit permettre de limiter à l'interface voulue.

Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Hors ligne

#3 Le 24/03/2013, à 21:38

sechanbask

Re : [résolu] bloquer toute connexion SSH venant d'internet

Bonjour,

Si tu veux bloquer tout le trafic venant d'internet, il faut fermer tout les ports de ta box.

Accessoirement si tu utilises SSH, il faut un vrai compte UNIX compliqué, un vrai mot de passe compliqué, et là clairement puisque quelqu'un s'est connecté, ton système peut être corrompu.

En gros, moi je réinstallerai et je n'utiliserai jamais sudo car il supprime une authentification !!

Hors ligne

#4 Le 25/03/2013, à 00:14

Nicoo

Re : [résolu] bloquer toute connexion SSH venant d'internet

sechanbask a écrit :

Bonjour,

Si tu veux bloquer tout le trafic venant d'internet, il faut fermer tout les ports de ta box.

Accessoirement si tu utilises SSH, il faut un vrai compte UNIX compliqué, un vrai mot de passe compliqué, et là clairement puisque quelqu'un s'est connecté, ton système peut être corrompu.

En gros, moi je réinstallerai et je n'utiliserai jamais sudo car il supprime une authentification !!

tu n'as pas du lire ce que j'ai écris, (pourtant j'écris bien au clavier, tu peux pas dire que mon écriture est illililisible...) en fait je n'ai pas de "box" où alors ma box est une très grosse box... puisque mon câble va droit dans le mur... (au sens propre du terme, non figuré) et j'ai besoin de root car mon pc est «headless» i.e. sans tête sans écran (en français) écransan (en verlant) donc si je veux installer un truc sans avoir root ça risque d'être pas facil...

jplemoine a écrit :

Je pense qu'il y a plus simple que de "jouer" avec les iptables : modifier le fichier /etc/ssh/sshd_config.
Il y a une option listen qui doit permettre de limiter à l'interface voulue.

bingo, dans sshd_config j'ai activé

ListenAddress 123.123.123.123

où 123.123.123.123 est l'ip de la carte réseau local. Pour ceux qui lisent ça dans le but de trouver une réponse, dans mon cas l'ip est statique, ça serait facheux de se retrouver avec une ip différente après un redémarrage... oui, très facheux... surout sans écran pour le pc....

HEAVY METAL RULES THIS F******G WORLD

Hors ligne

#5 Le 25/03/2013, à 17:28

sechanbask

Re : [résolu] bloquer toute connexion SSH venant d'internet

j'ai sens doute lu un peu trop vite, mais pour le sudo je persiste et signe de ne pas utiliser sudo mais su !

et t'interdire la connexion root comme expliqué ici :

http://www.app3l.org/dokuwiki/doku.php? … oriels:ssh

Hors ligne

#6 Le 25/03/2013, à 20:55

Nicoo

Re : [résolu] bloquer toute connexion SSH venant d'internet

j'utilise su wink

pour être plus précis je n'ai pas sudo, je n'aime pas ça j'aime bien que root soit root avec un passe propre à root

Dernière modification par Nicoo (Le 25/03/2013, à 21:04)

HEAVY METAL RULES THIS F******G WORLD

Hors ligne

Pages : 1