Contenu | Rechercher | Menus

Annonce

DVD, clés USB et t-shirts Ubuntu-fr disponibles sur la boutique En Vente Libre

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 08/04/2021, à 17:22

secalex

Serveur Ubuntu 20.04.2 Openvpn en plus de ssh

Bonjour,

J'ai installé un nouveau serveur Ubuntu 20.04.2 qui tourne parfaitement (me semble-t-il  tongue ).
Devant y accéder depuis l'extérieur j'ai routé le port ssh de la box vers le serveur sans aucun soucis et j'ai mis en place une authentification par clefs publique et privée complétée par une passphrase.
Tout cela fonctionne.

Je me demande donc s'il est utile voir fortement conseillé d'ajouter une connexion au serveur via Openvpn.

Merci d'avance pour vos retours.

Hors ligne

#2 Le 08/04/2021, à 17:44

Vobul

Re : Serveur Ubuntu 20.04.2 Openvpn en plus de ssh

Salut,

Réponse courte : non.

Réponse longue : utilise SOCKS via SSH pour accéder à ton réseau interne depuis l'extérieur si besoin. OpenVPN ça va plus être une cause de soucis qu'autre chose (google "ssh poor man's vpn").


Vobul

Utilisez le retour utilisable de commandes !!!

Hors ligne

#3 Le 09/04/2021, à 10:15

secalex

Re : Serveur Ubuntu 20.04.2 Openvpn en plus de ssh

Merci pour SOCKS, je vais regarder. wink

Est-il utile intéressant de changer le port de connexion ssh ?
J'ai fréquemment vu passer 2222 au lieu de 22.

Et au pire un autre VPN à conseiller ?

Hors ligne

#4 Le 09/04/2021, à 10:38

iznobe

Re : Serveur Ubuntu 20.04.2 Openvpn en plus de ssh

Bonjour il est evident que faire de la translation de port est un plus .
Cependant ca ne protege pas vraiment , juste ca evite d ' etre confronter aux bots qui inspecte la serie des ports standard .
Fail2ban peut etre aussi interressant pour se proteger des attaques sur tout les ports ouverts sur l' exterieur :
https://doc.ubuntu-fr.org/fail2ban

par contre le 222 ou 2222 a la place du 22 bof ... autant prendre un port aleatoire car les bots utiliseront aussi le 2222 .

Dernière modification par iznobe (Le 09/04/2021, à 10:47)


MSI Z490A-pro , i7 10700 , 32 GB RAM . avec Ubuntu , LM et W$10

Hors ligne

#5 Le 09/04/2021, à 10:53

bruno

Re : Serveur Ubuntu 20.04.2 Openvpn en plus de ssh

par contre le 222 ou 2222 a la place du 22 bof ... autant prendre un port aleatoire car les bots utiliseront aussi le 2222 .

C'est surtout que prendre un port non privilégié (<1024) diminue la sécurité.

De manière générale il vaut mieux éviter d'empiler les couches de sécurité inutilement. Comme on dit : KISS wink

Fail2ban pour le SSH n'est utile que si l'authentification par mot de passe est autorisée. Cela diminue la probabilité de succès d'une attaque par force brute ou par dictionnaire.

Si tu veux blinder ta configuration serveur SSH au niveau des algos de chiffrement et d'échanges de clés regarde : https://www.sshaudit.com

Dernière modification par bruno (Le 09/04/2021, à 10:55)


Être radical c’est prendre les choses par la racine.

Hors ligne

#6 Le 10/04/2021, à 18:28

secalex

Re : Serveur Ubuntu 20.04.2 Openvpn en plus de ssh

Bonsoir,

Merci pour toutes ces informations.
Entre temps j'avais initié une connexion depuis un autre poste et vu qu'il m'a demandé le mot de passe, j'ai compris qu'il allait falloir affiner et limiter les possibilités de connexion.
N'étant que le seul utilisateur ça va être plus simple.
J'ai déjà changé le port et j'ai passé un audit avec sshaudit très intéressant.

Je vous tiens au courant de la suite des opérations.

Hors ligne

#7 Le 19/04/2021, à 18:21

secalex

Re : Serveur Ubuntu 20.04.2 Openvpn en plus de ssh

Bonsoir,

Je dois avouer avoir un petit soucis avec UFW.
J'ai changé mon port SSH et quand UFW est déactivé tout va bien.

J'ai vu qu'à priori, UFW va voir dans le fichier /etc/services le port associé à l'application quand on lui dit : sudo ufw allow application
J'ai donc modifié en conséquence le port dans le fichier /etc/services

Cependant, quoique je fasse, UFW ne veut pas prendre en compte ce nouveau port quand je lui fait la demande sudo ufw allow OpenSSH
Il reste bloqué sur le 22.

Je sais que je peux forcer mon port mais je souhaite comprendre où se trouve le truc que je n'ai pas bien fait.

Merci d'avance

Hors ligne

#8 Le 19/04/2021, à 18:36

bruno

Re : Serveur Ubuntu 20.04.2 Openvpn en plus de ssh

secalex a écrit :

J'ai donc modifié en conséquence le port dans le fichier /etc/services

Mauvaise idée, il ne vaut mieux pas toucher à ce fichier. Le services et les ports qu'ils utilisent sont des choses standardisées par l'IANA.

Si tu as modifié le port SSH par défaut (mauvaise idée aussi) et que tu tiens absolument à utiliser ufw, tu ouvres le port que tu as spécifié dans /etc/ssh/sshd_config, exemple:

sudo ufw allow 721

EDIT: réponse croisée avec @Vobul wink

Dernière modification par bruno (Le 19/04/2021, à 18:38)


Être radical c’est prendre les choses par la racine.

Hors ligne

#9 Le 19/04/2021, à 18:37

Vobul

Re : Serveur Ubuntu 20.04.2 Openvpn en plus de ssh

utilise ufw allow <TON PORT>/tcp directement, n'édite pas /etc/services.

edit: wink @bruno

Dernière modification par Vobul (Le 19/04/2021, à 18:41)


Vobul

Utilisez le retour utilisable de commandes !!!

Hors ligne

#10 Le 19/04/2021, à 18:58

secalex

Re : Serveur Ubuntu 20.04.2 Openvpn en plus de ssh

Merci à tous les deux pour les informations.

Pour le /etc/services, je vais effectivement revenir en arrière.

Pourquoi modifier le port SSH par défaut (22) est une mauvaise idée ?

Dernière modification par secalex (Le 19/04/2021, à 18:58)

Hors ligne

#11 Le 19/04/2021, à 19:18

Vobul

Re : Serveur Ubuntu 20.04.2 Openvpn en plus de ssh

secalex a écrit :

Pourquoi modifier le port SSH par défaut (22) est une mauvaise idée ?

Il y a des arguments pour et des arguments contre. Moi je suis plutôt pour, bruno est plutôt contre. Les deux points de vue sont valides. Voir : https://forum.ubuntu-fr.org/viewtopic.php?id=2055707


Vobul

Utilisez le retour utilisable de commandes !!!

Hors ligne

#12 Le 20/04/2021, à 09:45

secalex

Re : Serveur Ubuntu 20.04.2 Openvpn en plus de ssh

Vobul a écrit :
secalex a écrit :

Pourquoi modifier le port SSH par défaut (22) est une mauvaise idée ?

Il y a des arguments pour et des arguments contre. Moi je suis plutôt pour, bruno est plutôt contre. Les deux points de vue sont valides. Voir : https://forum.ubuntu-fr.org/viewtopic.php?id=2055707

Merci pour cet éclairage qui compte tenu de ce que je veux faire me laisse à penser que je vais retourner sur le port 22.
Je suis le seul utilisateur SSH pour le moment et je vais donc blinder la sécurité en m'autorisant comme seul utilisateur autorisé de SSH.
Je vais aussi regarder les protocoles de chiffrement, limiter les tentatives de connexion, ...
Et mettre en place SOCKS si tout fonctionne bien.

Pour ce qui est de ce que je voulais réaliser, j'ai trouvé une solution propre.
Il faut aller dans /etc/ufw/application.d et modifier le port dans le fichier de configuration pour openssh.
Il faut ensuite taper :

sudo ufw app update OpenSSH

Ça udapte et reloade ufw...

Je vais revenir probablement avec d'autres questions sur le chiffrement mais merci pour toutes ces informations.

Dernière modification par secalex (Le 20/04/2021, à 09:45)

Hors ligne