Ubuntu-fr

GunsonMediux

[SSH] Comment conf une whitelist ?

Salut à tous !

J'ai un serveur qui pour des raisons de sécurité ne doit être accessible que par moi et moi seul.

Du coup j'ai déjà tous fais au niveau SSH (Génération d'une clef d'auth et de cryptage, changement du port et j'en passe...) mais afin de
renforcer cette sécurité je voudrais utiliser une sorte de whitelist.

Par exemple si l'ip du serveur en local est 10.0.0.254 et que la mienne est 10.0.0.1, je voudrais que dans la whitelist de ssh, il y ait de notifié
que seul l'ip 10.0.0.1 est autorisée à se connecter.

Mais le problème c'est que je ne trouve pas ce fichier (s'il existe...) ou la syntaxe pour notifier ça.

pires57

Re : [SSH] Comment conf une whitelist ?

iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -s 10.0.0.1 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j DROP

PS: le changement de port n'ajoute aucune sécurité.
PS2  : on parle de clé de chiffrement, cela est suffisant pour sécurisé, a moins que tu comptes donner ta clé a tout le monde personne ne pourra rentrer,les règles IPTABLES que j'ai fourni sont donc inutile (opinion perso qui sera surement commenté par tiramiseb dans peu de temps^^ ).

Dernière modification par pires57 (Le 08/07/2015, à 15:23)

---

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

GunsonMediux

Re : [SSH] Comment conf une whitelist ?

Techniquement il est censé te "protéger" des bots qui en auto spam le 22.

Merci beaucoup en tous cas !

GunsonMediux

Re : [SSH] Comment conf une whitelist ?

Finalement j'ai trouvé mieux que la clé. J'ai mis en place un system de double authentification avec Google Authenticator.

GunsonMediux

Re : [SSH] Comment conf une whitelist ?

En revanche je ne sais pas c'est le Google Authenticator ou moi qui me suis gouré dans le script au boot contenant tes règles mais avec n'importe quelle ip, je peux me co

pires57

Re : [SSH] Comment conf une whitelist ?

Ma règle ne filtre que sur le port 22, si tu as changé les ports de SSH alors elle ne sert a rien
Tu peut aussi faire une double authentification clé + mot de passe, tu n'as pas besoin de google authenticator

---

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

GunsonMediux

Re : [SSH] Comment conf une whitelist ?

Evidemment j'ai adapté la règle sur mon port
Je préfère garder le système de Google par ce qu'au moins je n'ai pas besoin d'avoir la clé en permanence sous la main et si quelqu'un tombe sur la clé...là au moins le passe change toutes les 30 secondes.

pires57

Re : [SSH] Comment conf une whitelist ?

J'ai modifié la régle, j'ai fait un peu trop compliqué.
Teste celle ci. Si cela ne fonctionne pas donne moi le retour de

iptables -L

---

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

bruno

Re : [SSH] Comment conf une whitelist ?

Tout de suite l'artillerie lourde avec iptables…
Il suffit d'utiliser dans /etc/ssh/sshd_config (cf. la page de man):

AllowUsers user@host

pour restreindre l'accès à l'utilisateur user provenant de l'hôte host
C'est beaucoup plus simple et facile à maintenir.

PS: je ne comprends pas l’intérêt de passer par un service tiers (Google) pour l’authentification puisqu'une seule machine est autorisée à se connecter et qu'elle possède nécessairement la clé de l'utilisateur.

Dernière modification par bruno (Le 08/07/2015, à 15:35)

pires57

Re : [SSH] Comment conf une whitelist ?

me disais bien qu'il y avait une entrée dans sshd_config pour cela ... mais j'arrivais plus a me souvenir du AllowUser...
bien vu Bruno (et oui j'aime sortir l'artillerie lourde en plus je l'ai fait comme un barbare, sans log )

---

Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

GunsonMediux

Re : [SSH] Comment conf une whitelist ?

Tout de suite l'artillerie lourde avec iptables…
Il suffit d'utiliser dans /etc/ssh/sshd_config (cf. la page de man):

AllowUsers user@host

pour restreindre l'accès à l'utilisateur user provenant de l'hôte host
C'est beaucoup plus simple et facile à maintenir.

PS: je ne comprends pas l’intérêt de passer par un service tiers (Google) pour l’authentification puisqu'une seule machine est autorisée à se connecter et qu'elle possède nécessairement la clé de l'utilisateur.

C'est pas possible de ne notifier que l'ip ? Par ce que pour être précis, le 10.0.0.1 est un VPN if you know what i mean.
En revanche cette fois ci ton iptables fonctionne !

bruno

Re : [SSH] Comment conf une whitelist ?

C'est pas possible que tu lises la page de man ?

AllowUsers
    Ce mot-clef peut être suivi d'une liste de motifs de noms d'utilisateurs, séparés par des espaces. S'il est spécifié, seuls les noms d'utilisateurs correspondant à un des motifs sont autorisés à se connecter. On peut utiliser les caractères « * » ou « ? » comme des jokers. Seuls les noms d'utilisateurs sont valides ; les identifiants d'utilisateurs (UID) ne sont pas reconnus. Par défaut, la connexion est autorisée pour tous les utilisateurs. Si le motif est de la forme UTILISATEUR@MACHINE, alors UTILISATEUR et MACHINE sont vérifiés séparément, en restreignant les connexions à des utilisateurs en particulier sur des machines en particulier.

jean-luc5629

Re : [SSH] Comment conf une whitelist ?

Salut à tous !
Du coup j'ai déjà tous fais au niveau SSH (Génération d'une clef d'auth et de cryptage, changement du port et j'en passe...) mais afin de
renforcer cette sécurité je voudrais utiliser une sorte de whitelist.

Bonsoir;
Une forteresse + douve + herses + alarme + porte blindée + etc... pour protéger un coffre fort avec tous les secrets défenses...