Je suis d'accord que c'est pas foufou comme guide, mais bon faut prendre en compte que la cible de ce blog c'est pas forcément des unixiens. En soit c'est une bonne intro.
Oui, je suis d'accord. Serveur de quoi? Parceque moi sur ma machine, j'ai fait un nc -l -p 12345 et je suis un serveur du coup.
Avec la tarte à la crème du changement de port SSH
c'est facile, c'est rapide, ça évite de voir ses logs se faire pourrir pour pas grand chose, c'est pas la solution idéale, mais ça fait le taf.
changement de port SSH, qui plus est en modifiant directement le fichier /etc/ssh/sshd_config…
abawi, il y a un fichier de configuration pour sshd, c'est fou que des gens configurent un serveur dans son fichier de configuration. Heureusement que ce fichier ne s'appelle pas sshd_configuration parceque sinon on pourrait croire que ce fichier de configuration sert à configurer la config de sshd, ouf!
Les vrais gens, ceux qui savent, vont utiliser un wrapper qui va créer un fichier qui va lancer un service qui va modifier un unit systemd afin de changer dynamiquement un port sans modifier la configuration de ce service, mais eux, ceux qui savent, savent!
Posté par Voltairine .
Évalué à 3 (+1/-0).
Dernière modification le 12 décembre 2025 à 11:39.
Avec la tarte à la crème du changement de port SSH
c'est facile, c'est rapide, ça évite de voir ses logs se faire pourrir pour pas grand chose, c'est pas la solution idéale, mais ça fait le taf.
Quand tu as x serveurs qui doivent communiquer sur des ports non standards c'est pas facile. Et si c'est pour une seule machine le choix d'un port non privilégié abaisse la sécurité. Dans ce cas il vaut mieux mettre le service en écoute uniquement en IPv6.
abawi, il y a un fichier de configuration pour sshd, c'est fou que des gens configurent un serveur dans son fichier de configuration.
Les mainteneurs du paquet openssh-server de Debian/Ubuntu ont décidé que les configurations personnalisées (et surcharges) devaient se faire dans des fichiers *.conf sous /etc/ssh/ssd_config.d/
C'est une manière de faire analogue pour de très nombreux logiciels qui évite de modifier la configuration par défaut fournie par les mainteneurs des paquets et permet d'avoir ses propres réglages bien organisés.
Les vrais gens, ceux qui savent, vont utiliser un wrapper qui va créer un fichier qui va lancer un service qui va modifier un unit systemd afin de changer dynamiquement un port sans modifier la configuration de ce service, mais eux, ceux qui savent, savent!
Pas sûr d'avoir compris…
Pour moi c'est juste une formulation alambiquée pour l'utilisation de la commande systemctl edit sshd.service Mais c'est totalement inutile pour changer le port puisqu'il suffit, comme je l'ai déjà indiqué, de mettre Port 722 par exemple dans un fichier /etc/ssh/sshd_config.d/custom.conf
Et si c'est pour une seule machine le choix d'un port non privilégié abaisse la sécurité.
ça je suis pas d'accord. Je vois pas le cas où un attaquant pouvant exécuter un binaire arbitraire qui va sniffer un port non privilégié est moins pire qu'un attaquant pouvant démarrer un binaire arbitraire (sous entendu, t'es déjà mort donc ça sert à rien, et le port non privilégié est tout en bas de ta liste de problèmes).
Dans ce cas il vaut mieux mettre le service en écoute uniquement en IPv6.
je suis ok, mais ça complexifie aussi pas mal :-(
Pas sûr d'avoir compris…
ouais, une réf que tu n'as pas lié à mon boulot ou tout le monde s'amuse à mettre des surcouches et de la templatisation dans tous les sens sans trop de raison.
Prenons le cas d'une machine qui héberge une application web sujette à une faille, un attaquant réussi à obtenir un shell d'utilisateur standard grâce à celle-ci (un compte utilisateur peut être compromis de bien d'autres manières). Il peut ensuite écouter ce qui transite sur le port non privilégié et par exemple récupérer les clefs.
En quoi changer la directive Listen :: est-il plus complexe que de changer celle-ci Port 622 ?
Ça sert à quoi de mettre des réfs que toi seul peux comprendre ?
Posté par octane .
Évalué à 2 (+1/-1).
Dernière modification le 12 décembre 2025 à 15:51.
un attaquant réussi à obtenir un shell d'utilisateur standard grâce à celle-ci
donc tu es déjà compromis. Et globalement, game over. C'est terminé.
Il peut ensuite écouter ce qui transite sur le port non privilégié et par exemple récupérer les clefs.
il y a déjà un service sshd qui tourne sur le port 22222 un port haut. Ton utilisateur standard va donc kill le serveur ssh (comment?) et relancer le sien à la place? Pour écouter les connexions? Et de quelle clé on parle? Le login password qui est deprecated, ou des clés pub/privs (et là, bonne chance au pirate pour me voler ma clé privée).
En quoi changer la directive Listen :: est-il plus complexe que de changer celle-ci Port 622 ?
Le changement n'est rien. L'accès en IPv6 s'améliore, mais tu n'en as pas de partout. IPv4 reste malheureusement assez incontournable.
Ça sert à quoi de mettre des réfs que toi seul peux comprendre ?
Vraiment ?
Il y a des gens qui sont capables de faire « un wrapper qui va créer un fichier qui va lancer un service qui va modifier un unit systemd » plutôt que d'utiliser une bête commande systemctl » ?
généralement, pas forcément ceci, mais cela répond au "besoin" que — tu comprends — tout le monde ne connaît pas toutes les commandes, spa leur faute on leur a demandé o_O « tu fais un script change_port_ssh et zou c'est plié, c'est auto-documenté, tout le monde peut le lancer et c'est reproductible sans se tromper… »
oui, c'est absurde, mais bon, bienvenue dans mon monde /o\
Tu as raison mon scenario d'attaque est foireux, c'est beaucoup plus difficile que cela à exploiter.
Bon on en va pas refaire cette discussion sur l’utilité de changer le port SSH. Il y a déjà pleins d'arguments de part et d'autre.
Chacun se fera son idée. Mais je considère que c'est une très mauvaise chose de conseiller cela à des débutants en le présentant comme une mesure de sécurité, voire LA mesure de sécurité.
Pour l'IPV6 on est quand même à près de 90% d'adoption en France et j'ai des cas où certaines machines ne sont accessibles qu'en IPv6 (pour des raisons de pénuries et de coût d'IPv4).
Mais je considère que c'est une très mauvaise chose de conseiller cela à des débutants en le présentant comme une mesure de sécurité, voire LA mesure de sécurité.
Pour un débutant, ça reste acceptable. Le débutant deviendra utilisateur avisé, et il comprendra pourquoi c'est pas LA mesure de sécurité par la suite. Le débutant fera ses choix seuls ensuite. Je pense malgré tout que c'est un bon compromis pour qu'un débutant se fasse défoncer sa machine dans les 2j qui suivent son installation. Après, ça se discute et il y a de bons arguments des deux côtés.
Pour l'IPV6 on est quand même à près de 90% d'adoption en France et j'ai des cas où certaines machines ne sont accessibles qu'en IPv6.
En vrai, j'ai peu-être répondu un peu vite, et je pense qu'il faut que j'y re-réflechisse, je vais utiliser ssh -6 dans mes configs et voir ce que ça donne.
# Serveur de quoi ?
Posté par Voltairine . Évalué à 4 (+2/-0).
On ne sait pas…
Avec la tarte à la crème du changement de port SSH, qui plus est en modifiant directement le fichier /etc/ssh/sshd_config…
Mouais bof…
[^] # Re: Serveur de quoi ?
Posté par raspbeguy (site web personnel, Mastodon) . Évalué à 6 (+5/-0).
Je suis d'accord que c'est pas foufou comme guide, mais bon faut prendre en compte que la cible de ce blog c'est pas forcément des unixiens. En soit c'est une bonne intro.
Un gentil du net
[^] # Re: Serveur de quoi ?
Posté par Voltairine . Évalué à 5 (+5/-2).
Justement, inutile de leur inculquer de mauvaises habitudes 😁
Et si on veut s'adresser aux profanes il est peut-être plus judicieux de proposer l'installation de Yunohost
[^] # Re: Serveur de quoi ?
Posté par octane . Évalué à 9 (+9/-2).
Oui, je suis d'accord. Serveur de quoi? Parceque moi sur ma machine, j'ai fait un nc -l -p 12345 et je suis un serveur du coup.
c'est facile, c'est rapide, ça évite de voir ses logs se faire pourrir pour pas grand chose, c'est pas la solution idéale, mais ça fait le taf.
abawi, il y a un fichier de configuration pour sshd, c'est fou que des gens configurent un serveur dans son fichier de configuration. Heureusement que ce fichier ne s'appelle pas sshd_configuration parceque sinon on pourrait croire que ce fichier de configuration sert à configurer la config de sshd, ouf!
Les vrais gens, ceux qui savent, vont utiliser un wrapper qui va créer un fichier qui va lancer un service qui va modifier un unit systemd afin de changer dynamiquement un port sans modifier la configuration de ce service, mais eux, ceux qui savent, savent!
[^] # Re: Serveur de quoi ?
Posté par Voltairine . Évalué à 3 (+1/-0). Dernière modification le 12 décembre 2025 à 11:39.
Quand tu as x serveurs qui doivent communiquer sur des ports non standards c'est pas facile. Et si c'est pour une seule machine le choix d'un port non privilégié abaisse la sécurité. Dans ce cas il vaut mieux mettre le service en écoute uniquement en IPv6.
Les mainteneurs du paquet openssh-server de Debian/Ubuntu ont décidé que les configurations personnalisées (et surcharges) devaient se faire dans des fichiers *.conf sous /etc/ssh/ssd_config.d/
C'est une manière de faire analogue pour de très nombreux logiciels qui évite de modifier la configuration par défaut fournie par les mainteneurs des paquets et permet d'avoir ses propres réglages bien organisés.
Pas sûr d'avoir compris…
Pour moi c'est juste une formulation alambiquée pour l'utilisation de la commande
systemctl edit sshd.serviceMais c'est totalement inutile pour changer le port puisqu'il suffit, comme je l'ai déjà indiqué, de mettrePort 722par exemple dans un fichier /etc/ssh/sshd_config.d/custom.conf[^] # Re: Serveur de quoi ?
Posté par octane . Évalué à 2 (+0/-0).
ça je suis pas d'accord. Je vois pas le cas où un attaquant pouvant exécuter un binaire arbitraire qui va sniffer un port non privilégié est moins pire qu'un attaquant pouvant démarrer un binaire arbitraire (sous entendu, t'es déjà mort donc ça sert à rien, et le port non privilégié est tout en bas de ta liste de problèmes).
je suis ok, mais ça complexifie aussi pas mal :-(
ouais, une réf que tu n'as pas lié à mon boulot ou tout le monde s'amuse à mettre des surcouches et de la templatisation dans tous les sens sans trop de raison.
[^] # Re: Serveur de quoi ?
Posté par Voltairine . Évalué à 2 (+0/-0).
Prenons le cas d'une machine qui héberge une application web sujette à une faille, un attaquant réussi à obtenir un shell d'utilisateur standard grâce à celle-ci (un compte utilisateur peut être compromis de bien d'autres manières). Il peut ensuite écouter ce qui transite sur le port non privilégié et par exemple récupérer les clefs.
En quoi changer la directive
Listen ::est-il plus complexe que de changer celle-ciPort 622?Ça sert à quoi de mettre des réfs que toi seul peux comprendre ?
[^] # Re: Serveur de quoi ?
Posté par octane . Évalué à 2 (+1/-1). Dernière modification le 12 décembre 2025 à 15:51.
donc tu es déjà compromis. Et globalement, game over. C'est terminé.
il y a déjà un service sshd qui tourne sur le port 22222 un port haut. Ton utilisateur standard va donc kill le serveur ssh (comment?) et relancer le sien à la place? Pour écouter les connexions? Et de quelle clé on parle? Le login password qui est deprecated, ou des clés pub/privs (et là, bonne chance au pirate pour me voler ma clé privée).
Le changement n'est rien. L'accès en IPv6 s'améliore, mais tu n'en as pas de partout. IPv4 reste malheureusement assez incontournable.
Je suis bête.
[^] # Re: Serveur de quoi ?
Posté par BAud (site web personnel) . Évalué à 2 (+0/-0). Dernière modification le 12 décembre 2025 à 18:48.
moi encore plus alors, vu que j'ai aussi déjà vu ce que tu décris /o\ pote de seum _o/ ?
[^] # Re: Serveur de quoi ?
Posté par Voltairine . Évalué à 2 (+0/-0).
Vraiment ?
Il y a des gens qui sont capables de faire « un wrapper qui va créer un fichier qui va lancer un service qui va modifier un unit systemd » plutôt que d'utiliser une bête commande systemctl » ?
[^] # Re: Serveur de quoi ?
Posté par BAud (site web personnel) . Évalué à 2 (+0/-0).
nan mais tu peux pas test :p
généralement, pas forcément ceci, mais cela répond au "besoin" que — tu comprends — tout le monde ne connaît pas toutes les commandes, spa leur faute on leur a demandé o_O « tu fais un script
change_port_sshet zou c'est plié, c'est auto-documenté, tout le monde peut le lancer et c'est reproductible sans se tromper… »oui, c'est absurde, mais bon, bienvenue dans mon monde /o\
[^] # Re: Serveur de quoi ?
Posté par Pol' uX (site web personnel) . Évalué à 2 (+0/-0).
Ce serait bien plus simple (et bien plus « sécurisé ») si le serveur ssh tirait son port au hasard à chaque démarrage.
Adhérer à l'April, ça vous tente ?
[^] # Re: Serveur de quoi ?
Posté par octane . Évalué à 2 (+1/-1).
[^] # Re: Serveur de quoi ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 4 (+1/-0).
and in the darkness bind them.
[^] # Re: Serveur de quoi ?
Posté par Voltairine . Évalué à 3 (+1/-0).
Tu as raison mon scenario d'attaque est foireux, c'est beaucoup plus difficile que cela à exploiter.
Bon on en va pas refaire cette discussion sur l’utilité de changer le port SSH. Il y a déjà pleins d'arguments de part et d'autre.
Chacun se fera son idée. Mais je considère que c'est une très mauvaise chose de conseiller cela à des débutants en le présentant comme une mesure de sécurité, voire LA mesure de sécurité.
Pour l'IPV6 on est quand même à près de 90% d'adoption en France et j'ai des cas où certaines machines ne sont accessibles qu'en IPv6 (pour des raisons de pénuries et de coût d'IPv4).
[^] # Re: Serveur de quoi ?
Posté par octane . Évalué à 2 (+0/-0).
Pour un débutant, ça reste acceptable. Le débutant deviendra utilisateur avisé, et il comprendra pourquoi c'est pas LA mesure de sécurité par la suite. Le débutant fera ses choix seuls ensuite. Je pense malgré tout que c'est un bon compromis pour qu'un débutant se fasse défoncer sa machine dans les 2j qui suivent son installation. Après, ça se discute et il y a de bons arguments des deux côtés.
En vrai, j'ai peu-être répondu un peu vite, et je pense qu'il faut que j'y re-réflechisse, je vais utiliser ssh -6 dans mes configs et voir ce que ça donne.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.