Forum Linux.général Exposer SSH via un service tor, bonne ou mauvaise idée ?

Posté par (page perso) . Licence CC by-sa
3
2
fév.
2016

Hello,

Tout est dans le titre !

Exposer son serveur SSH via un service TOR se fait en deux coups de cuillère à pot, mais la question est : cela a-t-il vraiment un intérêt ?
Dit différemment, si le serveur ssh est bindé sur le loopback, existerait-t-il une raison particulière qui pousserait sshd à révéler malgré tout une information capitale sur son emplacement ?

Car je trouve que sur le papier la solution est assez esthétique : un serveur SSH accessible de partout sans avoir à ouvrir un port sur mon firewall, caché quelque part dans le deepweb, où je peux me connecter de n'importe où sans que personne ne sache où il se trouve…et avec une authentification par clé pour verrouiller tout ça, juste au cas où…

Mais voilà, j'ai l'impression que c'est pas si courant comme approche ! Qu'en pensez-vous ?

Et en bonus cet article, je ne sais pas dire si la faille est toujours d'actualité : http://www.pcworld.com/article/2928752/tor-connections-to-hidden-services-could-be-easy-to-deanonymize.html

Merci pour vos avis :)

  • # quid de la verification de l'identité

    Posté par . Évalué à 2.

    ben oui parce que SSH, ca permet au client et au serveur de verifier que c'est bien celui qui est attendu en face.

    avec TOR, ne risque tu pas d'avoir des mismatchs, ton serveur "changeant" d'identité ou d'IP, etc

    • [^] # Re: quid de la verification de l'identité

      Posté par (page perso) . Évalué à 0.

      Je viens de redémarrer Tor juste pour voir, et quand je me connecte via putty sur mon serveur.onion je n'ai pas de warning pour me dire que la signature a changé. Du coup je sais pas, a priori ça lui plait quand même. Mais tu soulèves une question intéressante :)

    • [^] # Re: quid de la verification de l'identité

      Posté par (page perso) . Évalué à 5.

      Eh bien, l'identité, c'est à dire la clef publique du serveur, ne change justement pas ! Le client SSH peut signaler que le serveur a changé d'adresse IP, mais ce n'est normalement pas considéré comme une erreur ou un problème.

      • [^] # Re: quid de la verification de l'identité

        Posté par (page perso) . Évalué à 1.

        Oui, j'y ai pensé après coup, la clé sert justement à attester de l'identité d'un serveur, même s'il change d'ip ! Du coup au final, reste-t-il des points bloquants d'un point de vue sécurité à l'adoption d'une telle pratique ?

    • [^] # Re: quid de la verification de l'identité

      Posté par (page perso) . Évalué à 2.

      D'ailleurs, c'est un peu un défaut de SSH. L'aspect mobilité est peu prise en compte. Il faudrait améliorer le système…

    • [^] # Re: quid de la verification de l'identité

      Posté par (page perso) . Évalué à 3.

      Du point de vue réseau, un hidden service n’a même plus d’IP (c’est tout le but de la manœuvre). Donc pas de soucis ni de risque particulier, même sur une connexion avec IP changeante ou redémarrage du client Tor.
      (De base SSH n’est de toute façon pas impacté par un changement d’IP)

      • [^] # Re: quid de la verification de l'identité

        Posté par . Évalué à 2.

        (De base SSH n’est de toute façon pas impacté par un changement d’IP)

        ce n'est pourtant pas ce que me dit mon client SSH quand je change l'IP de mon serveur sans en changer la clé.

  • # I Hunt Sys Admins

    Posté par (page perso) . Évalué à 3. Dernière modification le 03/02/16 à 12:07.

    Programme I Hunt Sys Admin de la NSA : https://theintercept.com/document/2014/03/20/hunt-sys-admins/

    En gros, on regarde toutes les connexions SSH du monde, et le jour où on veut taper, on cherche l’IP source chez les GAFAM. Si un compte match, bingo, tu connais l’admin sys qui a accès à la machine visée. Plus qu’à aller lui casser les genoux.

    L’intérêt de passer par Tor via un Hidden Service est donc d’éviter d’avoir son IP dans la nature, et donc d’être recroisable via X-Key-Score ou équivalent.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.