Enfin quelqu'un qui à l'air de savoir de quoi il parle... Eh bien je vois que tu connais Logwatch/Fail2ban/PortSentry?… changement de port, désactivation de l'accès root, connexion uniquement par clefs... c'est complet... En matière de sécurité, je dirai : 1/ Tout faire passer par SSH (pas de FTP, PHPmyadmin et désactiver tout accès distant à une bdd en dehors, 2/ Faire un scan via Nessus www.tenable.com/downloads/nessus?loginAttempted=true 3/ Installer Rkhunter : doc.ubuntu-fr.org/rkhunter 4/ Installer Nmap pour faire des pentests 5/ Installer iftop/apachetop & mytop
Question bête mais est ce que c'est un problème qu'il y ai tant de tentatives ? Tant que le mdp est secure (ou qu'on autorise uniquement la connexion via clef) ça change rien non ? Ou c'est juste pour rendre les logs plus propre ? Ou il y a d'autres benifices ? C'est un peu comme tous les wordpress qui se font scanner sur /wp-admin
Si on laisse : - ça remplit les log (et peut remplir /var/log et empêcher de logger autre chose, ou remplir toute la racine si on est sur un VPS) - ça peut tenter quelqu'un de savoir qu'il y a un linux de l'autre bout - ça peut faire un déni de service via un bot Changer de port permet d'être plus discret
J'interdit en plus la connexion ssh pour root. Je ne peux me connecter qu'avec une clé sur un user standard, puis su ou su - .Je suis un peu emmerdé avec le port forwarding et l'agent gpg avec su mais on y arrive.
L’avantage du changement de port SSH, c’est qu’on ne risque pas d’arriver à se connecter à la machine (en essayant tout ce qui est possible et imaginable) par contre ça n’évitera pas la charge de paquets qui arrive sur la machine (les paquets ssh arriveront bien sur la machine de destination mais ne seront pas traités vu que le port 22 sera indisponible). Il faudrait éventuellement rejeter les paquets en destination du port 22 par le firewall/routeur et la on est tranquille. Ps: toujours désactiver l’accès root par mot de passe effectivement !
Le port knocking peut aussi être mis en place, cela consiste à présenter le port SSH fermé, mais si on "interroge" une séquence de ports défini à l'avance, le port sera ouvert pour l'IP ayant fait la demande.
Quand j'ai commencer à utiliser ssh il y a 4 ans j'ai beaucoup vu qu'il ne servait à rien de changer le port. J'avais fait le test comme toi et j'étais parvenu à la même conclusion que toi. Comme quoi il ne faut pas se fier à ce qu'on lit, même si on le lit souvent. Cette vidéo remet les pendules à l'heure.
Pour sécuriser tout ca, interdire la connexion root par mot de passe et autoriser uniquement via une clé SSH ED25519 :) D'ailleurs une petite vidéo peut être ? :)
Salut j'ai une méthode si tu veux meme si t'es sur linux tu doit sûrement deja l'utiliser c'est iptables (nftables pour la versions récente). En gros tu DROP tous tes ports sur le FORWARD et INPUT puis tu mes de exception pour autoriser que ton IP sur les port que tu utilise. je sais que pour beaucoup la syntaxe iptables et assez chiant mais sa marche quand c'est bien fait. Dis moi si sa ta aide comme méthode ^^
Franchement merci pour la video ! J'ai changé mon port SSH qui était en 22 :( Le fichier "secure" semble être "auth.log" sous Mint et Ubuntu je présume. J'étais bombardé de tentatives de connexions, et là plus rien !!!!! Merci beaucoup ;)
Bonjour a tousse. Perso je nais pas changer de port mes j'ai mis un autre pore de sorti dans la box (cote internet) qui redirige vair le port 22. sella revient t'il au même? Comme toujours tu fait du bon boulot , continu comme sa.
Tkt même avec un autre port ssh ça y va au bout de quelques jours. J'ai 137087 connections refusées en 2 mois(les logs systemd vont pas plus loin et flemme de changer la config). Vive les clés
Je vais regarder combien je peux avoir de connexions sur ssh, même si c'est facile à trouver, une petite démo sur comment changer le port d écoute aurait été bienvenue mon top 10: 29 mail 34 lp 35 nobody 36 syslog 37 www-data 40 uucp 48 sshd 52 daemon 77 bin 91 backup 147 mysql 71379 root conclusion j'ai activé le prohibit password pour le compte root et changé le port 22 dans /etc/ssh/sshd_config et sur le NAT
Pourquoi si peu de mots de passe sont testés par utilisateur donné ? Et aussi, j'ai pas l'utilisateur root qui apparait, ça m'étonne beaucoup (il est ouvert à la connexion par mot de passe) Ah et en effet! J'ai bien un utilisateur qui s'appelle "minecraft", comme quoi !
Chose que je fais tout le temps perso, J'avais laisser une machine a l époque avec le port ssh par default et un fail2ban actif , resultat 300 ban ip en une nuit :D
Enfin quelqu'un qui à l'air de savoir de quoi il parle...
Eh bien je vois que tu connais Logwatch/Fail2ban/PortSentry?… changement de port, désactivation de l'accès root, connexion uniquement par clefs... c'est complet...
En matière de sécurité, je dirai :
1/ Tout faire passer par SSH (pas de FTP, PHPmyadmin et désactiver tout accès distant à une bdd en dehors,
2/ Faire un scan via Nessus www.tenable.com/downloads/nessus?loginAttempted=true
3/ Installer Rkhunter : doc.ubuntu-fr.org/rkhunter
4/ Installer Nmap pour faire des pentests
5/ Installer iftop/apachetop & mytop
Question bête mais est ce que c'est un problème qu'il y ai tant de tentatives ? Tant que le mdp est secure (ou qu'on autorise uniquement la connexion via clef) ça change rien non ? Ou c'est juste pour rendre les logs plus propre ? Ou il y a d'autres benifices ?
C'est un peu comme tous les wordpress qui se font scanner sur /wp-admin
Si on laisse :
- ça remplit les log (et peut remplir /var/log et empêcher de logger autre chose, ou remplir toute la racine si on est sur un VPS)
- ça peut tenter quelqu'un de savoir qu'il y a un linux de l'autre bout
- ça peut faire un déni de service via un bot
Changer de port permet d'être plus discret
@@AdrienLinuxtricks merci pour l'éclaircissement 👍
J'interdit en plus la connexion ssh pour root. Je ne peux me connecter qu'avec une clé sur un user standard, puis su ou su - .Je suis un peu emmerdé avec le port forwarding et l'agent gpg avec su mais on y arrive.
Salut, fail2ban permet de limiter la casse également, comme tu l'indiques en fin de vidéo...
oui !
L’avantage du changement de port SSH, c’est qu’on ne risque pas d’arriver à se connecter à la machine (en essayant tout ce qui est possible et imaginable) par contre ça n’évitera pas la charge de paquets qui arrive sur la machine (les paquets ssh arriveront bien sur la machine de destination mais ne seront pas traités vu que le port 22 sera indisponible). Il faudrait éventuellement rejeter les paquets en destination du port 22 par le firewall/routeur et la on est tranquille. Ps: toujours désactiver l’accès root par mot de passe effectivement !
Iptables est mon ami
essayer "tout ce qui est possible et imaginable" c'est le but d'un scan en règle...
Le port knocking peut aussi être mis en place, cela consiste à présenter le port SSH fermé, mais si on "interroge" une séquence de ports défini à l'avance, le port sera ouvert pour l'IP ayant fait la demande.
oui, j'ai fait une vidéo sur le sujet d'ailleurs il y a quelques mois.
Comment faire pour exiger la clé afin de se connecter en root? est ce que la procédure change d'une distro à une autre?
Super :) Merci
Je suis étonné de ne pas voir l'utilisateur "pi" ou "raspberry" :D
@ramle seam dans les miens aussi
haha maintenant vous allez l'avoir
Quand j'ai commencer à utiliser ssh il y a 4 ans j'ai beaucoup vu qu'il ne servait à rien de changer le port. J'avais fait le test comme toi et j'étais parvenu à la même conclusion que toi. Comme quoi il ne faut pas se fier à ce qu'on lit, même si on le lit souvent. Cette vidéo remet les pendules à l'heure.
;)
Pour sécuriser tout ca, interdire la connexion root par mot de passe et autoriser uniquement via une clé SSH ED25519 :) D'ailleurs une petite vidéo peut être ? :)
c'est possible !
Salut j'ai une méthode si tu veux meme si t'es sur linux tu doit sûrement deja l'utiliser c'est iptables (nftables pour la versions récente). En gros tu DROP tous tes ports sur le FORWARD et INPUT puis tu mes de exception pour autoriser que ton IP sur les port que tu utilise. je sais que pour beaucoup la syntaxe iptables et assez chiant mais sa marche quand c'est bien fait. Dis moi si sa ta aide comme méthode ^^
et faut pas que ton IP change pour une raison légitime sinon t'es enfermé dehors
par curiosité j'aurais installé sshesame sur le port 22 juste pour voir ce que vont essayer de lancer ces bot comme commande :)
Maintenant je sais pourquoi cette bonne pratique. Merci 😉
:)
Salut Adrien, tuto intéressant, peux tu faire une vidéo en expliquant comment changer ce port SSH, je suis sur Windows et deepin. Merci
Vidéo très instructive. Merci
Franchement merci pour la video ! J'ai changé mon port SSH qui était en 22 :(
Le fichier "secure" semble être "auth.log" sous Mint et Ubuntu je présume.
J'étais bombardé de tentatives de connexions, et là plus rien !!!!!
Merci beaucoup ;)
possible les fichiers ne sont pas identiques suivant les distributions
c'est bien auth.log
Trop bien, ça fait peur mais j'ai adoré. Merci des informations
"portentry" pour la détection et le blocage de scan de port.
Génial, je ne connais pas cette solution. Je teste cela aujourd'hui
Bonjour a tousse.
Perso je nais pas changer de port mes j'ai mis un autre pore de sorti dans la box (cote internet) qui redirige vair le port 22. sella revient t'il au même?
Comme toujours tu fait du bon boulot , continu comme sa.
Salut, ça revient au même.
Le but est de ne pas ouvrir le port 22 sur une IP externe.
Donc un 2222 externe -> 22 interne est sans risques dans ce cas
Ah oui c'est pas con non plus comme solution ! ;)
@@AdrienLinuxtricks merci de ta raiponce je voulais en être sure.
PS : ré-active la correction automatique d'orthographe 😉
Ah! ça c'est une vidéo intéressante. Bon à savoir. Denis Brogniard aurait été intéressé (Ah!)
Tkt même avec un autre port ssh ça y va au bout de quelques jours. J'ai 137087 connections refusées en 2 mois(les logs systemd vont pas plus loin et flemme de changer la config). Vive les clés
Super vidéo ! Je pensé pas qu'il y aurait autant de bot qui scan le net, c'est abuser !
video différente mais toute aussi intéressante
:)
Je vais regarder combien je peux avoir de connexions sur ssh, même si c'est facile à trouver, une petite démo sur comment changer le port d écoute aurait été bienvenue
mon top 10:
29 mail
34 lp
35 nobody
36 syslog
37 www-data
40 uucp
48 sshd
52 daemon
77 bin
91 backup
147 mysql
71379 root
conclusion j'ai activé le prohibit password pour le compte root et changé le port 22 dans /etc/ssh/sshd_config et sur le NAT
Il faut changer le port SSH Ryan!
Pourquoi si peu de mots de passe sont testés par utilisateur donné ? Et aussi, j'ai pas l'utilisateur root qui apparait, ça m'étonne beaucoup (il est ouvert à la connexion par mot de passe)
Ah et en effet! J'ai bien un utilisateur qui s'appelle "minecraft", comme quoi !
Du coup c'est dommage t'expliques pas comment changer le port. :p
Voilà pourquoi j'suis parano quand il s'agit d'ouvrir qqch. sur le WAN, c'est la jungle internet, même si ce que je partage n'a "pas d'importance"
:) Je suis un peu parano dans certains cas mais pas tous
Chose que je fais tout le temps perso,
J'avais laisser une machine a l époque avec le port ssh par default et un fail2ban actif , resultat 300 ban ip en une nuit :D
héhé
En plus de changer le port ssh, installer « endlessh » peut faire 🤮 les bots
Perso mes serveurs on deux attaques par jour de la chine au des USA avant d'être bloqué.
Le port knocking mais sa nécessite des règles Iptables.
Oui, j'en ai fait une vidéo sur le sujet ;)
lol il y a longtemps que SSH n'est plus en 22
Sinusbot c’est un bot musique pour teamspeak
d'aac
Étonnamment moi j'ai beaucoup de tentative en tant que Pi :-)
C'est amusant, il manque 123456789, 987654321, 1234, AZERTY, QWERTY, ou bien les mêmes en minuscules.
^^
first
endlessh + fail2ban-endlessh.