gUI a écrit 6076 commentaires

Alors j'ai lu en diagonale, mais je suis étonné que le J.O. décide du vocabulaire maintenant.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Miser sur le fait que l’attaquant ne trouvera pas le login, c’est une mauvaise idée.

En tous cas, si tu considères l'attaque par brute-force possible du mot de passe, ça rajoute des bits d'entropie (va falloir réessayer tous les mots de passes pour tous les logins avant d'en trouver qui matche).

Mais couplé à fail2ban, ça devient compliqué de brute-forcer quoi que ce soit. Ou alors il faut être sacrément organisé (et jouer avec des IPs différentes sur chaque tentative).

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Ah pardon oui. Il y a un côté anti-DDOS dans l'utilisation de fail2ban en effet.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

C'est des tentatives qui ont étaient bloquées au niveau du firewall plutôt que d'openssh

Un firewall détecte 3 tentatives infructueuses consécutives de login ? Si oui, ça a en effet plus de sens de le mettre sur un firewall… encore faut-il en avoir un (et bien configuré pour ça).

fail2ban out-of-the-box est déjà paramétré pour openssh. C'est encore plus facile à installer que de changer le port de SSH :)

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Si ton compte perso peut utiliser sudo

Oui mais ce que je veux dire c'est que déjà il faut le connaître. Les scripts tentent des login standard uniquement. Par contre celui qui me connait et veut attaquer mon serveur n'aura en effet pas de mal à trouver le login. Reste ensuite la barrière du mot de passe, là, même qqu'un qui me connait aura du mal.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Bin j'ai eu 34000 ban en quelques mois. C'est pas négligeable je trouve. Vu que le ban arrive après plusieurs tentatives et que donc il n'y a pas de raison que ça s'arrête, c'est au moins 34000 tentatives supplémentaires qui n'ont pas eu lieu.

Non ?

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Je suis peut-être un admin un poil parano, mais de l’authentification SSH par mot de passe (autrement que sur un réseau local sûr) ça me fait froid dans le dos rien que d’y penser.

Alors tu m'inquiètes, c'est ce que je fais depuis toujours :)

Bon, à ma décharge, voici mes "mitigation" :
- pas de connexion root
- seul mon compte perso est accessible (login original donc)
- fail2ban activé

Donc niveau script merdiques, je suis tranquille, et brute force, ça va être compliqué. Après, je suis particulièrement peu parano j'avoue…

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Si c'était le cas, les installations standard utiliseraient un port random par exemple, ou t'inciteraient fortement à en changer.

Bon, l'ANSI recommande de changer le port. Par contre ils recommandent surtout de rester sur un port privilégié (< 1024) pour pas se le faire usurper par un autre service "utilisateur".

Au passage ils parlent de risque sur les comptes avec mot de passe faible. Je pense que cette recommandation est faite pour des serveurs où il y a bcp d'utilisateurs non maîtrisés (ce qui n'est pas le cas chez moi où il n'y a qu'un utilisateur : moi).

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

pourquoi ne pas le faire ?

Parce que tu sors des standards. Rien que pour ça c'est un argument pour moi (rester dans les standards est toujours une bonne pratique).

Disons que c'est un réglage supplémentaire à faire à chaque client, c'est le risque (minime c'est vrai) d'utiliser un jour une autre application qui utilise ce même port et c'est reparti pour un réglage de plus, c'est le risque d'oublier quel est le port en question (si t'as pas ton client fétiche sous la main dans lequel tu as fait le réglage, et que tu as vraiment choisi un port random, et pas 2222 comme bcp font)… bref tu sors des standards quoi :)

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Des gens qui scannent?

Bin oui. C'est la base d'une attaque ciblée. Seuls les petits scripts simplistes tentent pi/raspberry sur le port 22 et c'est tout, mais si qqu'un veut précisément jouer avec ton serveur, il va commencer par regarder quels ports sont ouverts et avec quels services (c'est trivial et ça prend quelques secondes).

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Pour une question de sécurité.

C'est une fausse sécurité. Si c'était le cas, les installations standard utiliseraient un port random par exemple, ou t'inciteraient fortement à en changer. Scanner une IP pour y trouver un port SSH prend quelques secondes, c'est une sécurité bien fragile.

Ok, tu t'affranchis des scripts kiddies les plus simples, mais sur une vraie attaque, il n'y aura pas de différence.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Il y a une raison à cela

Oui, c'est le port standard.

Moi c'est la question inverse que je me pose : pourquoi en changer ?

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Je vais me mettre à collectionner les meilleurs slogans de rue, et celui-ci sera sans aucun doute très bien classé (mis à part la signature "Toto" qui est pas spécialement rigolote je trouve)

Le précédent qui m'a bien fait marrer c'est "tout le monde démission" (la référence est récente, je pense que pas mal de lecteur de LinuxFR.org l'ont vu passer)

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

mais est-ce que ça supporte la dictée quand je suis au volant de ma voiture ?

j'ai pas compris cette partie. ton calepin il supporte la dictée quand tu es au volant de la voiture ?

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Je pense que fail2ban aide beaucoup. Pour ma part je suis sur un dédié OVH, je suis sur le port 22 standard mais avec fail2ban.

Depuis début février, j'ai le résultat suivant avec le script du journal :

    644 admin
    284 user
    254 test
    214 pi
    205 ubuntu
    168 postgres
    121 oracle
     98 support
     95 ftpuser
     94 git
     ...

J'ai 5600 lignes, dont l'immense majorité avec une seule occurrence.

Sur cette même période je vois 34000 "Ban" dans les logs de fail2ban.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Merci à tous pour cette conversation.

On entend partout dire qu'on ne peut pas breveter un logiciel en Europe, mais je me suis toujours demandé comment le MP3 a bien été breveté par un institut Allemand. De plus on voit passer des infos par exemple sur le JPEG qui tombe hors royalties (oui, c'est peut-être différent), comme quoi on ne fait pas ce qu'on veut pour reproduire un algo.

Je comprends mieux !

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Quelqu'un a essayé ?

Mon exécutable tourne sous Linux, mais Windows 10 gueule : pas compatible avec la version de Windows actuellement exécutée.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Toujours ! D'où les forums comme celui-ci :)

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

je n'avais pas trouver cette page

C'était pourtant pas très dur :)

J'ai cliqué sur ton lien 'API', puis dans Step 1 : 'authentication guide'.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Tu as bien compris que ton pb est l'authentification ? Il te faut bien lire et relire https://dev.twitch.tv/docs/authentication/. À la parcourir, je vois quelques pièges notamment les jetons (token) qui expirent, il te faut les renouveler régulièrement.

Je te conseille de faire quelques essais en ligne de commande (ils donnent des exemples en curl) qui te permettront de vérifier que tu as tout bien fait et tout bien compris.

Ensuite seulement traduis en Python.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Idem j'ai joué à programmer la tortue, je ne me souviens plus trop d'ailleurs. Je vois l'instituteur qui allait sur le "serveur" et nous on jouait pas mal sur les postes TO7 (il me semble). Du souvenir que j'en ai on serait en CE2 pour ma part.

Mais c'est pas du tout ça qui m'a donné envie de faire ce que je suis aujourd'hui. Je n'ai pas touché un ordinateur jusqu'au lycée, où j'avais acheté un AtariST pour faire de la musique (prises MIDI en standard). Et avec l'AtariST il y avait un Basic livré avec…

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

De plus il manque le "c urgent" en capitales, sinon ça se voit pas.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Sur l'idée pourquoi pas. Moi ce que j'ai toujours reproché à Windows c'est d'être opaque en fait.

Où est paramétré ce comportement ? Comment le supprimer/le modifier ?

Si c'est correctement documenté (y compris en allant farfouiller dans la base de registres, ça ne m'a jamais dérangé), pourquoi pas. Si c'est incontournable, c'est vraiment pénible.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

C'est prémaché avec un script qui lance automatiquement le container de manière transparente?

C'est ce que j'ai fait. En tête il y a un Makefile, tout simplement (j'aime les Makefile). De la construction du docker à l'utilisation, c'est juste des commandes make.

C'est quoi qui est plus fort qu'un docker?

En fait j'ai jamais utilisé Docker pour des applications graphiques, je ne sais même pas si c'est possible. Du coup je pensais à la virtualisation.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Pour un peu le même besoin dans la mienne j'ai créé un docker qui propose la cross compilation ARM de notre produit.

Elle embarque un script qui est capable de cloner le repo git, compiler, et préparer un réprtoire output/ avec tout dedans bien rangé. Utilisable manuellement par les devs ou en CI.

EDIT : j'ai peut-être lu ton post un peu trop rapidement, toi tu parles d'embarquer Eclipse par exemple. Du coup il va te falloir plus qu'un Docker je pense.

En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.