Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

nombreuses tentatives de connexions sur ssh

thpo

Bonjour,

Je cherche a sécuriser une machine à laquelle j'accède par ssh à distance par Internet.

En effet, j'ai constaté de nombreuses tentatives de connexions dans les logs (auth.log) avec des noms d'utilisateurs divers et provenant d'adresses IP diverses.

J'ai déjà changé le port par défaut, cela a pas été efficace jusqu'à il a quelques jours...

J'ai lu que forcer l'authentification par clefs est une bonne solution. Je compte mettre cela en place.

Mais j'ai aussi vu que les fichiers hosts.allow et hosts.deny peuvent bloquer les accès.

Par ailleurs, j'ai activé ufw.

Mon idée est de bloquer tout sauf l'adresse IP que j'utilise pour me connecter.

Avec les fichiers hosts.allow et hosts.deny ça pose des problèmes car j'imagine que tout sera bloqué, c'est donc trop radical. Non ? Par exemple il n'y aura plus de mise à jour.

Avec ufw je me dis qu'il y peut-être un moyen de ne bloquer tout le monde sauf une adresse IP sur le port 22.

Mais je n'ai pas trouvé comment faire, j'ai juste trouvé dans [doc]ufw[/doc] la méthode pour bloquer une adresse.

ufw insert 1 deny from [ip]

(Fail2ban ne m'intéresse pas trop, car il y a toujours de nouvelles adresses à bloquer. Je pense qu'utiliser ufw est la meilleure solution.)

Merci d'avance

krodelabestiole

non, la meilleure solution c'est de forcer l'auth par clé et désactiver l'auth par mot de passe. ça suffit. pas besoin de ufw. et ça te permettra de te connecter toi et seulement toi d'où tu veux, tant que ta clé reste confidentielle.

et pour répondre à ta question mais je te conseille pas de le faire, on peut mettre en place le comportement contraignant que tu décris directement depuis sshd (toujours pas besoin de ufw) avec la directive AllowUsers. par ex. :

AllowUsers thpo@1.2.3.4

lynn

Bonjour,

thpo a écrit En effet, j'ai constaté de nombreuses tentatives de connexions dans les logs (auth.log) avec des noms d'utilisateurs divers et provenant d'adresses IP diverses.

Et il y aura toujours de nombreuses tentatives de connexion ; tu ne pourras jamais empêcher quelqu'un ou un bot de tenter de se connecter... Ce que tu vois dans les logs, c'est le résultat de ces tentatives.
En soi, c'est plutôt bien de pouvoir jeter un œil sur les IP qui ont essayé de se connecter parce que, d'une manière générale, ce n'est pas parce ce que tu ne vois rien qu'il ne se passe rien... alors si il se passe quelque chose, autant avoir des infos.

Le seul truc, c'est que ça crée des fichiers de log plus conséquents. 😉