Le blog de Dju - Mot-clé - hack - CommentairesUn peu de moto, un zeste de geek, et un brin d'autres trucs ;-)2024-03-22T17:50:26+01:00Djuurn:md5:5e61426dd704534f4aef077f5b82260bDotclearProtéger son acces SSH - Djuurn:md5:9a834a927ca19eab8587b9570cafeaca2014-11-14T14:06:13+01:002014-11-14T14:06:13+01:00Dju<p>bonjour quentin <img src="/themes/BlueSky/smilies/wink.gif" alt=";)" class="smiley" /><br />
bien entendu, l'auth par clé est la meilleure ! et tellement pratique...<br />
un coup de ssh-copy-id et c'est parti<br />
Sinon j'avais vu aussi la yubi-key, faut que je m'y interesse. après, faut juste l'avoir sur soit en permanence et pas la perdre <img src="/themes/BlueSky/smilies/wink.gif" alt=";)" class="smiley" /></p>Protéger son acces SSH - Quentinurn:md5:d6931666e15650927aa76da76faec09a2014-11-13T01:27:43+01:002014-11-13T01:27:43+01:00Quentin<p>Pas mal cet article même si je connaissais déjà la syntaxe iptables concernant les brute force SSH. Pour OpenSSH, y'a également la double authentification password et yubikey qui est plutôt cool. Mais effectivement rien ne vaut l'authentification par clef.</p>
<p>On peut faire la même chose avec PF d'OpenBSD est la syntaxe est plutôt sympa :</p>
<p>block quick from <bruteforce><br />
pass in quick on $ext_if proto tcp from any to $ext_if port ssh \<br />
keep state (max-src-conn 5, max-src-conn-rate 5/60, \<br />
overload <bruteforce> flush global)</p>
<p>Pour la protection contre les SYN Flood, ça donne ça :</p>
<p>pass in quick on $ext_if proto tcp from any to X.X.X.X port www synproxy state</p>
<p>Franchement, PF c'est vraiment du bonheur par rapport à NETFILTER/IPTABLES.</p>
<p>A+</p>Protéger son acces SSH - Djuurn:md5:94ad227bea2be4ec0384a9cca96b82a42014-02-15T13:24:40+01:002014-02-15T13:24:40+01:00Dju<p>Interessant, je ne connaissais pas. merci <img src="/themes/BlueSky/smilies/smile.gif" alt=":)" class="smiley" /><br />
sinon le must reste toujours de ne plus utiliser de password mais la clé ssh</p>Protéger son acces SSH - Rikaurn:md5:39df56413dd03d5067a90d9fa1636c902014-02-14T08:45:31+01:002014-02-14T08:45:31+01:00Rika<p>Vous pouvez utiliser Google Authenticator pour protéger votre connexion SSH avec un code de validation à 2 facteurs <img src="/themes/BlueSky/smilies/smile.gif" alt=":)" class="smiley" /> <a href="http://pirmax.fr/2014/02/13/securiser-les-connexions-ssh-avec-google-authenticator/" title="http://pirmax.fr/2014/02/13/securiser-les-connexions-ssh-avec-google-authenticator/" rel="ugc nofollow">http://pirmax.fr/2014/02/13/securis...</a></p>Protéger son acces SSH - Djuurn:md5:60f39f02a78c3b3dc47e097a6c0cdfbd2010-10-05T10:33:04+02:002010-10-05T09:33:04+02:00Dju<p>salut fredo,<br />
c'est vrai que c'est bien fail2ban, et qu'on peut le configurer pour verifier pas mal de services différents tant qu'il y a des logs derrière. <img src="/themes/BlueSky/smilies/smile.gif" alt=":)" class="smiley" /><br />
mais contrairement à iptables, il n'agit pas "en temps réel".<br />
en cas de grosse attaque, le temps qu'il commence à agir, le serveur peut être deja par terre <img src="/themes/BlueSky/smilies/sad.gif" alt=":(" class="smiley" /></p>Protéger son acces SSH - fredourn:md5:f17d5586da386eccfdc08a32e9d5fd802010-10-03T11:24:44+02:002010-10-05T09:19:35+02:00fredo<p>sinon, fail2ban fait ça très bien (même si ça a un petit côté "bidouille") et pas seulement pour le SSH <img src="/themes/BlueSky/smilies/smile.gif" alt=":)" class="smiley" /></p>