Forum Linux.debian/ubuntu Configuration ssh

Posté par  .
Étiquettes : aucune
0
6
jan.
2007
Bonjour,

J'ai très régulièrement des tentatives de connexions ssh sur mon serveur. Genre
pendant 30 minutes, y'a tout une liste de logins qui sont essayés par la même ip.
Et ça quasiment tous les jours. J'ai lu un peu de doc sur ssh pour m'assurer que je
ne risque rien, et du coup j'ai ajouté des paramètres en plus comme celle pour
éviter le login par root etc... Par contre je n'ai pas bien compris le champs d'action
des options suivantes : MaxAuthTries & MaxStartups.
Autre chose, je voudrais être sure que si l'on test des users du genre mysql,
ftpuser, etc (des users "système on va dire) que l'on ne puisse pas se loguer.
Enfin voilà, des petites astuces pour ma sécurité !

Merci de bien vouloir m'éclairer un peu :-)
Xavier

  • # limitation via iptables

    Posté par  . Évalué à 3.

    Pour le premier problème voir:

    http://www.debian-administration.org/articles/187

    où il est expliqué comment limiter le nbre de connexions par minutes autorisées pour une même ip sur un certain port, justement dans le but d'empêcher les scan ssh.

    Pour le reste, les utilisateurs système n'ont en général pas de mot de passe (! ou * dans /etc/passwd), et/ou un shell non valide (/bin/false) ce qui empêche un login via ssh.

  • # éviter 99% des problèmes de securité

    Posté par  (site web personnel) . Évalué à 3.

    Passe le port de SSH de 22 à par exemple 23 ou 8597 et tu en aura fini de tous ces bot qui scannent le net à la recherche d'un ssh défectueux.

    Par contre si quelqu'un te veut vraiment du mal ça ne l'arretera surement pas mais là je doute que ssh soit la première cible d'un pirate ...

    Perso j'ai changé le port de mon ssh et depuis je n'ai plus jamais eut une seul tentative de connection.

  • # fail2ban

    Posté par  (site web personnel) . Évalué à 2.

    Sinon tu as un excellent package qui s'appelle fail2ban!

    http://fail2ban.sourceforge.net/wiki/index.php/Main_Page

  • # AllowUsers ou AllowGroups

    Posté par  (site web personnel) . Évalué à 1.

    Pour n'autoriser qu'une liste donnée d'utilisateurs à se logger, une directive du sshd_config à utiliser est AllowUsers suivi de la liste des utilisateurs, ou une autre solution consiste à créer un groupe (disons sshusers), à ajouter chacun des utilisateurs autorisés dans ce groupe, et à rajouter la directive "AllowGroups sshusers" dans ton sshd_config.

    Dès lors, tu es assuré que seuls ces utilisateurs pourront se connecter par ssh.

    • [^] # Re: AllowUsers ou AllowGroups

      Posté par  . Évalué à 1.

      Merci à tous,

      En fait le plus simple ca va être de changer de port et de mettre mon user
      AllowUsers comme ca je vais être plus transquille... De toute manière il n'y a que moi :-)

      Merci a+
      Xavier

  • # Users systèmes

    Posté par  (site web personnel, Mastodon) . Évalué à 1.

    Si, dans /etc/passwd, tes users ont /bin/false en fin de ligne, il leur est impossible de lancer un shell, même avec le bon mot de passe (if any).

    Si, dans /etc/shadow, tes users ont un ! comme second champs, ça signifie qu'ils n'ont aucun mot de passe, donc accès impossible via mot de passe.

    Typiquement, sur debian en tout cas, un user comme mysql a ces deux configurations:
    mysql:x:105:106:MySQL Server:/var/lib/mysql:/bin/false
    et
    mysql:!:12683:0:99999:7:::

    La gelée de coings est une chose à ne pas avaler de travers.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.