Contenu | Rechercher | Menus

Annonce

Ubuntu-fr vend de superbes t-shirts et de belles clés USB 32Go
Rendez-vous sur la boutique En Vente Libre

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 27/02/2019, à 13:46

john25

changer port 22 ssh

Bonjour,

hier soir, je teste openssh-server pour voir à quoi ça ressemble.
Toutes options par défaut, quelques tests pour voir
si je peux copier-coller des fichiers du client au serveur,
aucun problème.

Ce matin, en me documentant un peu sur l'engin,
je décide de réinstaller ssh afin de configurer un minimum la sécurité.
Je change donc le port par défaut, soit 22, pour 3052
dans ssh_config et sshd_config, sur l'ordi client et serveur.
Je tente de lancer la connection et j'obtiens :

ssh: connect to host 192.168.0.2 port 3052: Connection refused

ufw status me renvoie qu'il est inactif.

Qui m'empèche de créer la connexion ?


Merci par Avance !

Hors ligne

#2 Le 27/02/2019, à 14:32

Nasman

Re : changer port 22 ssh

As tu indiqué le port 3052 dans la commande ssh pour te connecter à ton serveur (vu qu'il est sensé écouter sur le port 3052) ?


PC fixe sous Bionic 64 bits et portable avec Xenial 64 bits

Hors ligne

#3 Le 27/02/2019, à 15:13

bruno

Re : changer port 22 ssh

+1
Il faut indiquer les commandes que tu utilises et donner un retour complet.

N.B. : changer le port par défaut n’améliore pas la sécurité.

Hors ligne

#4 Le 27/02/2019, à 16:20

john25

Re : changer port 22 ssh

Après avoir installé le paquet openssh-server sur les 2 machines,
voici :

joh85@PCjohn:~$ ssh nanou96@192.168.0.2 -p 3052
ssh: connect to host 192.168.0.2 port 3052: Connection refused
joh85@PCjohn:~$ ssh nanou96@192.168.0.2
ssh: connect to host 192.168.0.2 port 3052: Connection refused
joh85@PCjohn:~$

et

nanou96@PCnanou:~$ ssh joh85@192.168.0.1 -p 3052
ssh: connect to host 192.168.0.1 port 3052: Connection refused
nanou96@PCnanou:~$ ssh joh85@192.168.0.1
ssh: connect to host 192.168.0.1 port 3052: Connection refused
nanou96@PCnanou:~$

Je précise que les IP sont statiques, je n'ai rien touché à DHCP, depuis quelque jours.
Toutefois hier, ça marchait par défaut, avec même IP, seul changement,
la ligne
#Port 22
en ligne
Port 3052
dans ssh_config et sshd_config, sur les deux ordi.

bruno a écrit :

N.B. : changer le port par défaut n’améliore pas la sécurité.

de ce que j'ai cru comprendre, et il est très probable que je me trompe,
le port 22 est plus souvent scanné par des robots

entre autre, vu ici : Tuto ssh sur WikiUbuntu
Chapitre 4, première ligne du tableu :
Port     22     Tous les ports non utilisés de 1024 à 65535     Permet d'éviter des désagréments avec les robots qui scannent Internet, notamment les ports par défaut

nota : je n'en suis qu'au point 1 de la configuration, j'ai pas fini de venir pleurer sur le forum ! hmm
Enfin, la suite ira peut être plus facilement.


Merci par Avance !

Hors ligne

#5 Le 27/02/2019, à 16:29

TheSun

Re : changer port 22 ssh

Il y a quelque chose que tu as dû mal faire car il est très facile de faire fonctionner SSH sur un réseau local (encore si tu passais par internet pour te connecter sur un pc externe là tu aurais plus de chance de te tromper) mais en restant uniquement sur un réseau local, il n'y a pratiquement rien à faire pour que ça fonctionne.

En faite il n'y a qu'une seule chose à faire c'est installer "openssh-server" sur le pc qui doit être contrôlé à distance (qui a donc le rôle de serveur ssh).
Si l'autre pc ne sert qu'a contrôler l'autre, il n'a pas besoin openssh-server car il n'est que client (mais il peux être utile de l'installer si tu veux pouvoir contrôler dans les 2 sens pc1 => pc2 ou pc2 => pc1).

Par ailleurs, tu n'a pas à toucher au fichier ssh_config.

Dans un 1er temps il fallait tester sans toucher la config, pas même le port. ça doit fonctionner dès le départ. Seulement ensuite tu peux commencer à modifier la config.

Sinon concernant le changement de port et la sécurité, disons que ça l'améliore "très légèrement" dans le sens ou il y a des robots qui, pour gagner du temps et être plus efficace, ne scan que le port SSH par défaut donc il y aura peut être un peu moins de robot qui vont tomber sur ton port SSH modifié.

Mais pour améliorer considérablement la sécurité, il faut surtout passer par un système de clé privé/publique.

Cela dit, tu semble ne pas vouloir utiliser SSH en passant par internet mais uniquement en local donc moins risqué vu que ton port n'est pas ouvert sur le net. A la limite ça ne sert à rien de changer le port si tu restes qu'en local.

Dernière modification par TheSun (Le 27/02/2019, à 16:31)

Hors ligne

#6 Le 27/02/2019, à 16:31

credenhill

Re : changer port 22 ssh

hello
les daemons ont-ils été redémarrés sur le serveur pour tenir compte des modifications  de sshd_config ?

sudo service ssh restart

Hors ligne

#7 Le 27/02/2019, à 16:33

Nasman

Re : changer port 22 ssh

Le serveur est-il connecté directement à internet ou via une "box" ? Dans ce dernier cas le ssh depuis l'extérieur s'effectue avec l'ip externe de la box et un port qui sera redirigé vers ton serveur (iplocale et port choisi).


PC fixe sous Bionic 64 bits et portable avec Xenial 64 bits

Hors ligne

#8 Le 27/02/2019, à 16:37

bruno

Re : changer port 22 ssh

john25 a écrit :


Toutefois hier, ça marchait par défaut, avec même IP, seul changement,
la ligne
#Port 22
en ligne
Port 3052
dans ssh_config et sshd_config, sur les deux ordi.

Tu n'avais aucun besoin de modifier le fichier ssh_config qui est celui du client. Commence par supprimer cette modification.

Vérifie que tu as bien relancé le service sur les deux machines :

sudo systemctl restart ssh

Je ne vais pas polémiquer sur le changement de port. SI cela t'intéresse je développerai mes arguments pour et surtout contre wink

Hors ligne

#9 Le 27/02/2019, à 16:45

john25

Re : changer port 22 ssh

TheSun a écrit :

Par ailleurs, tu n'a pas à toucher au fichier ssh_config.
Dans un 1er temps il fallait tester sans toucher la config, pas même le port. ça doit fonctionner dès le départ. Seulement ensuite tu peux commencer à modifier la config.

c'est ce que j'ai fait hier. Cela fonctionnais, par défaut. Donc, aujourd'hui je me suis dit, je vais commencé à creuser..
Tu dis ssh_config ne doit pas être touché, seulement sshd_config, du moins concernant les ports ?

TheSun a écrit :

Mais pour améliorer considérablement la sécurité, il faut surtout passer par un système de clé privé/publique.

c'est bien ce que je compte faire, mais avant ça, j'essayais des choses disons, plus simple, à priori.

credenhill a écrit :

hello
les daemons ont-ils été redémarrés sur le serveur pour tenir compte des modifications  de sshd_config ?

j'ai reboot après la manip sur les fichiers de config.

Nasman a écrit :

Le serveur est-il connecté directement à internet ou via une "box" ? Dans ce dernier cas le ssh depuis l'extérieur s'effectue avec l'ip externe de la box et un port qui sera redirigé vers ton serveur (iplocale et port choisi)

les 2 ordis sont connecté en WiFi à une "box", qui va sur l'internet publique. Donc je suis dans le cas 2?
ce qui veut dire que je dois taper quelque chose comme :
ssh nanou@"IPbox" -p 3052 ?
avec le port 22 par défaut, hier, je n'avais pas besoin de l'IP de la box (Freebox mini 4K, si ça peut aider)

Dernière modification par john25 (Le 27/02/2019, à 16:46)


Merci par Avance !

Hors ligne

#10 Le 27/02/2019, à 16:48

john25

Re : changer port 22 ssh

TheSun a écrit :

Cela dit, tu semble ne pas vouloir utiliser SSH en passant par internet mais uniquement en local donc moins risqué vu que ton port n'est pas ouvert sur le net. A la limite ça ne sert à rien de changer le port si tu restes qu'en local.

A terme, j'aimerais bien pouvoir me connecté depuis chez un ami, ou autre..
Mais pour l'instant, je me contenterai d'essayer de comprendre un minimum le système derrière ma box.

Dernière modification par john25 (Le 27/02/2019, à 16:49)


Merci par Avance !

Hors ligne

#11 Le 27/02/2019, à 16:50

TheSun

Re : changer port 22 ssh

Nan nan si les 2 pc sont relié à la box (wifi ou câble peu importe) tu passes pas par internet pour SSH donc pas besoin d'ouvrir les ports sur le routeur.
Tu te connectes avec ton ip locale comme hier.

Oui il n'y a que le fichier sshd_config à modifier si tu veux modifier le port ou d'autres réglages.

tu dois te connecter comme ceci :

ssh tonlogin@tonIPlocale -p numeroport

edit : par contre tu auras des nouvelles manip à faire si tu veux te connecter depuis chez ton ami vu ton dernier msg mais valide le fonctionnement en local déjà.

Dernière modification par TheSun (Le 27/02/2019, à 16:51)

Hors ligne

#12 Le 27/02/2019, à 16:51

john25

Re : changer port 22 ssh

bruno a écrit :

Je ne vais pas polémiquer sur le changement de port. SI cela t'intéresse je développerai mes arguments pour et surtout contre wink

Ca m'intéresse.. smile


Merci par Avance !

Hors ligne

#13 Le 27/02/2019, à 16:53

Nasman

Re : changer port 22 ssh

Si tes deux appareils sont connecté à ta box, ils ont des adresses ip locales, donc tu devrais te contenter de faire un

ssh -X -p 3052 ton_login@adresse_ip_locale_serveur

Avec la config par défaut pour ssh_config du poste depuis lequel tu te connectes et l'indication de 3052 comme port d'écoute de ton serveur (sshd_config)

Si tu te connectes depuis l'extérieur, il faudra par exemple choisir un port particulier de ta box, disons 31415 (exemple bidon) qui sera redirigé vers l'adresse locale de ton serveur (sans doute 192.168.xxx.yyy) avec le port 3052 (voir comment paramétrer le box de ton fai)

La connexion (depuis internet) sera du genre

ssh -X -p 31415 ton_login@adresse_ip_publique_de_ta_box

adresse_ip_publique_de_ta_box peut être connue en allant sur un site comme whatismyipaddress

Dernière modification par Nasman (Le 27/02/2019, à 16:58)


PC fixe sous Bionic 64 bits et portable avec Xenial 64 bits

Hors ligne

#14 Le 27/02/2019, à 16:55

john25

Re : changer port 22 ssh

TheSun a écrit :

Oui il n'y a que le fichier sshd_config à modifier si tu veux modifier le port ou d'autres réglages.

OK, le problème vient peut être de là. Je remettrai ce soir le ssh_config comme il était.
Mais , par exemple (j'en suis pas encore là), pour les histoires de ssh -X,
il y a pas lieu de passer la ligne ForwardX11 no en yes ? dans ssh_conf justement ?
edit:(je dois m'absenté) Merci beaucoup pour cette aide

Dernière modification par john25 (Le 27/02/2019, à 16:58)


Merci par Avance !

Hors ligne

#15 Le 27/02/2019, à 17:00

TheSun

Re : changer port 22 ssh

le -X est facultatif, il sert à pouvoir lancer des applications de manière graphique depuis la console SSH, sans le -X t'a pas d'export graphique.
Si par exemple tu veux lancer graphiquement sur ton bureau la calculatrice qui se trouve sur le poste distant c'est possible. Tu peux ainsi afficher sur ton bureau des logiciels qui ne sont même pas installé/présent sur ton pc, ça utilise les ressources de l'autre PC.

rappel : on ne touche pas au fichier ssh_conf, uniquement le sshd_conf ! et dans ce fichier le ForwardX11 est activé par défaut donc l'export graphique fonctionnera, il faut juste penser (comme pour le port) à le préciser dans la commande donc avec le -X).

Dernière modification par TheSun (Le 27/02/2019, à 17:02)

Hors ligne

#16 Le 27/02/2019, à 17:21

bruno

Re : changer port 22 ssh

john25 a écrit :
bruno a écrit :

Je ne vais pas polémiquer sur le changement de port. SI cela t'intéresse je développerai mes arguments pour et surtout contre wink

Ca m'intéresse.. smile

Pourquoi c'est une bonne idée de changer le port SSH par défaut :
- mes logs ne se remplissent plus de tentatives de connexion essayant différents mot de passe (robots qui font de l'attaque par force brute).

Pourquoi c'est une mauvaise idée de changer le port SSH par défaut :
- c'est de la sécurité par l'obscurité. Cela peut ralentir un attaquant et éviter les robots qui font de l’attaque par force brute, mais on pourra toujours trouver sur quel port ce service est en écoute.
- cela peut donner un faux sentiment de sécurité et inciter à négliger les vrais réglages de sécurité : connexion par clés et non par mot de passe. Si l'utilisation de login/mot de passe est nécessaire choisir des noms d'utilisateur originaux (éviter john, admin, etc.) et des mots de passe très solides (phrases de passe) ;
- cela peut devenir un vrai casse-tête pour l’administrateur système. Il va lui falloir penser à préciser le numéro de port pour chacune de ses commandes et de ses scripts. S’il a  50 serveurs avec des ports différents à chaque fois, cela ne va pas être simple. Il arrive aussi d’avoir à utiliser des applications qui ne peuvent se connecter que sur le port standard.
- l’utilisation d’un port non privilégié (< 1024) diminue la sécurité. En effet, n’importe quel utilisateur peut écrire un script qui écoute sur un port non privilégié et ainsi capturer les informations qui transitent par ce port. Seul l’utilisateur root peut utiliser un port <1024.

Hors ligne

#17 Le 28/02/2019, à 11:07

john25

Re : changer port 22 ssh

OK tout est rentré dans l'ordre.

J'ai essayé sur le port 3052 et ça a fonctionné.

Toutefois, Bruno m'a convaincu, je suis derrière ma box, donc j'ai remis le port 22,
ça m'économisera quelques frappes à l'avenir, entre autre.
Le problème du log qui se remplit peut être contourné par :
MaxStartups 2:50:3 ?
règle bien restrictive (?) mais le système de clé privé/publiques est quand même censé se connecté du premier coup, non ?
(j'ai l'impression de dire un bonne grosse co....ie)
ou/et failtoban..
Bref, plus tard.

Je reste avec l'install par défaut pour l'instant,
si j'ai du temps aujourd'hui ou demain, je ferai l'install des clés privés/publiques.

En réfléchissant à vos commentaires,
je m'aperçois que j'ai d'autres problèmes de sécurité à régler.
D'ailleurs merci nmap, port 22 ou 3052, sur ma machine,
ça ne change rien à ce qu'il se passe sur ma box.
Bref, merci pour le temps que vous m'avez accordé.
J'ouvrirai un autre post à propos de nmap,
et reviendrai ici si je galère avec les clés privés/publiques.

Encore merci.


Merci par Avance !

Hors ligne