Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

TUTO - Securiser serveur linux

tiramiseb

Changer de port pour SSH n'est pas une sécurité totale, mais le pirate ne peut avoir la certitude de l'exécution d'un démon sshd...

Un petit scan de ports et voilà on sait où est SSH...

[supprimé]

Oui, c'est sur, mais parfois, des vilains pas bô lancent un scan sur «des ranges d'IP complètes», donc à la recherche d'une machine sur Internet présentant le service pour lequel ils «règlent» leur scanner, donc par exemple sur le port 22, ou 21 ou que sais-je.

Ceci dit, si tu cibles une machine précise, il est bien évidant que le service sera détecté puisque le scan de port sera élargie!

[supprimé]

tiramiseb a écrit
Changer de port pour SSH n'est pas une sécurité totale, mais le pirate ne peut avoir la certitude de l'exécution d'un démon sshd...
Un petit scan de ports et voilà on sait où est SSH...

Sauf si le paquet Portsentry est installé et bien configuré. La protection est assez radical : un simple scan via Nmap suffit à être bannit.

Je recommande vivement le couple Fail2ban (contre les attaques de mots de passe) / Portsentry (contre les scans de ports).

YSF.ma

le lien du tuto ne marche plus. ! 🙁

tiramiseb

YSF.ma: si tu avais lu la discussion tu aurais vu qu'on l'a déjà dit...

robindesbois

YSF.ma a écritle lien du tuto ne marche plus. ! 🙁

Oui c'est dommage, peut-être que l'auteur ne lis plus le forum ici et qu'il ne s'en est pas rendu compte de ton message 😉 , tu peux peut-être le les) joindre via son (leur) site ici :

http://www.bidouilleit.com/about/ (Ils y ont leurs portfolios et leurs profils Facebook, à toute :cool: )

tiramiseb

peut-être que l'auteur ne lis plus le forum ici et qu'il ne s'en est pas rendu compte de ton message

Peut-être que l'auteur a retiré son article pour le refaire suite à nos commentaires...
Oh wait, mais c'est ce qu'il a dit en #5 et en #7...

janv

Je vais suivre cette conversation avec intérêt, et au passage j' ai pu lire par le passé quelques très bon articles de tiramseb.

J'ai pas mal de questions, je vais ouvrir un fil perso, même si celles-ci sont en rapport.
Concernant UFW, l'option "limit" genre :

ufw limit ssh

1- Ça ne fait pas sensiblement la même chose que fail2ban ?

Dernière question pour ne pas pourrir le fil.
2- j'ai eu beau fouiller les pages man d'UFW, je ne trouve rien qui permettrai de régler le "bantime" comme dans fail2ban.

tiramiseb

1- Ça ne fait pas sensiblement la même chose que fail2ban ?

Le résultat peut être à peu près le même, mais ça n'est pas aussi avancé.
fail2ban regarde les logs et bloque selon ce qu'il y analyse, avec durée de banissement, etc.
"ufw limit", par contre, limite juste selon le nombre de connexions, quelles qu'elles soient : si tu te connectes plusieurs fois en SSH de manière tout à fait légitime, alors tu peux te faire jeter quand même.

2- j'ai eu beau fouiller les pages man d'UFW, je ne trouve rien qui permettrai de régler le "bantime"

Parce que ce blocage n'a pas de limite dans le temps.

janv

Merci pour la réponse.
Bon je ne suis pas à même d’interpréter convenablement le fichier mais dans /lib/ufw/user[6].rules Il semblerai que ufw limite les tentatives à 3 par minute

### RATE LIMITING ###
-A ufw6-user-limit -m limit --limit 3/minute -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw6-user-limit -j REJECT
-A ufw6-user-limit-accept -j ACCEPT
### END RATE LIMITING ###

tiramiseb

Oui, ton interprétation me semble bonne.

janv

En soi cela parait une protection convenable. J'ai quand même ajouté une règle fail2ban ssh sur mon vps en plus de "ufw limit ssh"

tiramiseb

Et tu as mis 3 murs d'enceinte et 2 douves autour de ta maison ?

janv

:lol:
non fail2ban servira aussi sur d'autres services... j'ai mis la suite ici http://forum.ubuntu-fr.org/viewtopic.php?pid=19099031#p19099031

pires57

Bin non tiramiseb, il a mis le serveur dans la rue devant sa maison avec une grosse pancarte "Hack me if you can " 😃

« Page précédente