Linux et SSH
Résolu/Fermé
tsukubasa
Messages postés
19
Date d'inscription
lundi 29 novembre 2010
Statut
Membre
Dernière intervention
5 février 2011
-
29 janv. 2011 à 13:20
tsukubasa Messages postés 19 Date d'inscription lundi 29 novembre 2010 Statut Membre Dernière intervention 5 février 2011 - 29 janv. 2011 à 19:50
tsukubasa Messages postés 19 Date d'inscription lundi 29 novembre 2010 Statut Membre Dernière intervention 5 février 2011 - 29 janv. 2011 à 19:50
A voir également:
- Linux et SSH
- Linux mint - Télécharger - Systèmes d'exploitation
- Diskinternals linux reader - Télécharger - Stockage
- Telecharger ssh - Télécharger - Divers Web & Internet
- Linux live usb creator - Télécharger - Outils Internet
- Play on linux - Télécharger - Divers Utilitaires
6 réponses
mamiemando
Messages postés
33079
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
23 avril 2024
7 749
29 janv. 2011 à 13:34
29 janv. 2011 à 13:34
...et je me demandais si c'était juste le cas pendant le paramêtrage ou si c'était tout le temps comme ça (et il me semble bien que c'est la deuxième option).
Chez Orange c'est tout le temps comme ça car tu n'as pas une IP publique fixe. Une solution consiste à paramétrer un DynDNS au niveau de la livebox.
Sinon que faire pour rêgler ça ? Faut-il avoir une ip statique ou dynamique ?
Chez Orange il faudrait voir s'il y a une option pour avoir une IP fixe. Pour le moment tu as une IP dynamique. Si tu restes avec une IP dynamique, il faudra soit récupérer à chaque fois ton IP publique au préalable, soit passer par un DynDNS.
Et sinon niveau sécurité j'ai un firewall (iptables je crois) mais je me demande surtout si c'est pas au niveau du paramêtrage de la box que ça craint ? je lui ai juste demandé de me rediriger vers la bonne ip sans rien changer niveau sécurité mais ça me tracasse quand même.
Tu dois juste rediriger le port 22 (port entrant) vers l'IP locale de ta machine vers le port 22 (port sortant). On peut même imaginer que tu choisisses un autre port entrant par exemple 2222. Tu devras alors préciser dans ton client ssh que tu te connectes sur le port 2222.
C'est intéressant d'utiliser un autre port que celui par le défaut car ça évite de te faire bourriner ton serveur ssh par tous les bots du web (qui attaqueront en priorité sur le port 22). Tu peux voir qui tente de se connecter dans /var/log/auth.log.
Tu peux également restreindre qui a le droit de se connecter en ssh (règle sur le login, sur l'IP du client etc...) dans /etc/ssh/sshd_config. En outre, ce n'est pas forcément stratégique de laisser root se connecter en ssh, car c'est un login présent sur la plupart des machines Unix, dont l'un des premiers qui est attaqué. Attention également à ce que les utilisateurs qui peuvent se connecter en ssh n'aient pas un mot de pass trivial.
Pense à relancer ton serveur ssh une fois que c'est corrigé à ton idée
Si tu es encore plus stressé, tu peux forcer les authentifications par clé (comme ça on ne peut pas tenter de casser un mot de passe : soit le client a la clé, soit il ne l'a pas). Plus de détails ici pour générer une clé ssh :
http://prendreuncafe.com/blog/post/2005/08/29/262-installer-sa-cle-ssh-sur-un-serveur-distant
Bonne chance
Chez Orange c'est tout le temps comme ça car tu n'as pas une IP publique fixe. Une solution consiste à paramétrer un DynDNS au niveau de la livebox.
Sinon que faire pour rêgler ça ? Faut-il avoir une ip statique ou dynamique ?
Chez Orange il faudrait voir s'il y a une option pour avoir une IP fixe. Pour le moment tu as une IP dynamique. Si tu restes avec une IP dynamique, il faudra soit récupérer à chaque fois ton IP publique au préalable, soit passer par un DynDNS.
Et sinon niveau sécurité j'ai un firewall (iptables je crois) mais je me demande surtout si c'est pas au niveau du paramêtrage de la box que ça craint ? je lui ai juste demandé de me rediriger vers la bonne ip sans rien changer niveau sécurité mais ça me tracasse quand même.
Tu dois juste rediriger le port 22 (port entrant) vers l'IP locale de ta machine vers le port 22 (port sortant). On peut même imaginer que tu choisisses un autre port entrant par exemple 2222. Tu devras alors préciser dans ton client ssh que tu te connectes sur le port 2222.
C'est intéressant d'utiliser un autre port que celui par le défaut car ça évite de te faire bourriner ton serveur ssh par tous les bots du web (qui attaqueront en priorité sur le port 22). Tu peux voir qui tente de se connecter dans /var/log/auth.log.
Tu peux également restreindre qui a le droit de se connecter en ssh (règle sur le login, sur l'IP du client etc...) dans /etc/ssh/sshd_config. En outre, ce n'est pas forcément stratégique de laisser root se connecter en ssh, car c'est un login présent sur la plupart des machines Unix, dont l'un des premiers qui est attaqué. Attention également à ce que les utilisateurs qui peuvent se connecter en ssh n'aient pas un mot de pass trivial.
Pense à relancer ton serveur ssh une fois que c'est corrigé à ton idée
sudo service ssh restart
Si tu es encore plus stressé, tu peux forcer les authentifications par clé (comme ça on ne peut pas tenter de casser un mot de passe : soit le client a la clé, soit il ne l'a pas). Plus de détails ici pour générer une clé ssh :
http://prendreuncafe.com/blog/post/2005/08/29/262-installer-sa-cle-ssh-sur-un-serveur-distant
Bonne chance
tsukubasa
Messages postés
19
Date d'inscription
lundi 29 novembre 2010
Statut
Membre
Dernière intervention
5 février 2011
29 janv. 2011 à 14:15
29 janv. 2011 à 14:15
Tout d'abord, merci pour cette réponse aussi rapide que complète, ça fait plaisir :).
Pour commencer, je vais essayer de paramêtrer le fichier sshd_config l'ip attendra que ça soit fait ça me parrait mieux, j'ai un peu de mal à saisir l'interireur de ce fichier m'enfin ça c'est pas encore trop grave je ne suis pas préssé, je me demande juste :
PermitRootLogin Yes
je suppose qu'il faut mettre No pour qu'on ne puisse pas se log en root à distance, toutefois celà empêche-t-il d'utiliser la commande sudo, jusqu'à maintenant je me connecte en utilisant mon compte d'utilisateur "normal" celui créé par défaut, ce que tu veux dire c'est qu'il faut interdire toute commande qui nécessite d'être root ou bien juste d'interdire de se connecter directement en root ? (afin d'éviter toute action malveillante je pense)
Pour ce qui est du port, je n'utilisait déjà pas le port 22 car j'avais lu ailleurs que c'était préférable en effet.
Attention également à ce que les utilisateurs qui peuvent se connecter en ssh n'aient pas un mot de pass trivial.
Pour l'instant il n'y a que moi, mais en gros le but du jeu c'est d'avoir des mots de passe un peu compliqués pour qu'ils ne soient pas cassés facilement c'est ça ? Pour ça j'ai changé mon mot de passe il y a peu toutefois étant habitué à un ancien mot de passe peu complexe je me demande quel est le minimum à fournir en matière de mot de passe, est-ce que c'est vraiment utile d'avoir un mot de passe de 50 caractère tous pris au hasard ? Où est-ce qu'une vingtaine de caractère minuscule/majuscule ça suffit ? (je suppose que oui car si je ne dis pas de bétises, on utilise un mot de passe complexe pour éviter les attaques par bruteforce, attaque qui teste toutes les combinaisons possibles, donc minuscules + majuscules, en admettant qu'il ne teste que ça ça fait 52^20 possibilités et après faut tester toutes les tailles de pass, ponctuations, etc donc je crois que c'est bon ^^)
Par ailleurs je n'ai jamais essayé de configurer un DynDNS je vais me renseigner là dessus et tester ça merci pour l'info (récupêrer l'adresse à chaque fois ça me parait un peu chiadé quand même ^^)
Sur ce merci beaucoup pour ces infos ;).
Une très bonne journée.
Pour commencer, je vais essayer de paramêtrer le fichier sshd_config l'ip attendra que ça soit fait ça me parrait mieux, j'ai un peu de mal à saisir l'interireur de ce fichier m'enfin ça c'est pas encore trop grave je ne suis pas préssé, je me demande juste :
PermitRootLogin Yes
je suppose qu'il faut mettre No pour qu'on ne puisse pas se log en root à distance, toutefois celà empêche-t-il d'utiliser la commande sudo, jusqu'à maintenant je me connecte en utilisant mon compte d'utilisateur "normal" celui créé par défaut, ce que tu veux dire c'est qu'il faut interdire toute commande qui nécessite d'être root ou bien juste d'interdire de se connecter directement en root ? (afin d'éviter toute action malveillante je pense)
Pour ce qui est du port, je n'utilisait déjà pas le port 22 car j'avais lu ailleurs que c'était préférable en effet.
Attention également à ce que les utilisateurs qui peuvent se connecter en ssh n'aient pas un mot de pass trivial.
Pour l'instant il n'y a que moi, mais en gros le but du jeu c'est d'avoir des mots de passe un peu compliqués pour qu'ils ne soient pas cassés facilement c'est ça ? Pour ça j'ai changé mon mot de passe il y a peu toutefois étant habitué à un ancien mot de passe peu complexe je me demande quel est le minimum à fournir en matière de mot de passe, est-ce que c'est vraiment utile d'avoir un mot de passe de 50 caractère tous pris au hasard ? Où est-ce qu'une vingtaine de caractère minuscule/majuscule ça suffit ? (je suppose que oui car si je ne dis pas de bétises, on utilise un mot de passe complexe pour éviter les attaques par bruteforce, attaque qui teste toutes les combinaisons possibles, donc minuscules + majuscules, en admettant qu'il ne teste que ça ça fait 52^20 possibilités et après faut tester toutes les tailles de pass, ponctuations, etc donc je crois que c'est bon ^^)
Par ailleurs je n'ai jamais essayé de configurer un DynDNS je vais me renseigner là dessus et tester ça merci pour l'info (récupêrer l'adresse à chaque fois ça me parait un peu chiadé quand même ^^)
Sur ce merci beaucoup pour ces infos ;).
Une très bonne journée.
mamiemando
Messages postés
33079
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
23 avril 2024
7 749
29 janv. 2011 à 14:26
29 janv. 2011 à 14:26
... ou bien juste d'interdire de se connecter directement en root ? (afin d'éviter toute action malveillante je pense)
Dans sshd_config il suffit juste d'interdire root de se connecter en ssh. Le client devra par exemple se connecter en mando, qui lui pourra passer en root grâce à l'une de ces commandes selon comment est configuré ton linux :
Pour l'instant il n'y a que moi, mais en gros le but du jeu c'est d'avoir des mots de passe un peu compliqués pour qu'ils ne soient pas cassés facilement c'est ça ?
Oui. Un mot de passe basé sur le login ou un mot du dictionnaire est facile à casser. Un bon mot de passe comporte des minuscules, des majuscules, des chiffres voire des caractères spéciaux. Inutile d'avoir un mot de passe de plus de 10 caractères parce que c'est pénible à taper, mais il ne faut pas non plus avoir un mot de passe trop court (moins de 6 caractères) car sinon il devient moins solide.
Par ailleurs je n'ai jamais essayé de configurer un DynDNS je vais me renseigner là dessus et tester ça merci pour l'info (récupêrer l'adresse à chaque fois ça me parait un peu chiadé quand même ^^)
Justement c'est le rôle de DynDNS de te l'éviter
Sur ce merci beaucoup pour ces infos ;)
De rien. Pour avoir un aperçu de ce que fait ssh tu devrais aussi lire ceci (plus besoin de ftp etc...) :
http://doc.ubuntu-fr.org/ssh
Bonne chance
Dans sshd_config il suffit juste d'interdire root de se connecter en ssh. Le client devra par exemple se connecter en mando, qui lui pourra passer en root grâce à l'une de ces commandes selon comment est configuré ton linux :
sudo -s su -
Pour l'instant il n'y a que moi, mais en gros le but du jeu c'est d'avoir des mots de passe un peu compliqués pour qu'ils ne soient pas cassés facilement c'est ça ?
Oui. Un mot de passe basé sur le login ou un mot du dictionnaire est facile à casser. Un bon mot de passe comporte des minuscules, des majuscules, des chiffres voire des caractères spéciaux. Inutile d'avoir un mot de passe de plus de 10 caractères parce que c'est pénible à taper, mais il ne faut pas non plus avoir un mot de passe trop court (moins de 6 caractères) car sinon il devient moins solide.
Par ailleurs je n'ai jamais essayé de configurer un DynDNS je vais me renseigner là dessus et tester ça merci pour l'info (récupêrer l'adresse à chaque fois ça me parait un peu chiadé quand même ^^)
Justement c'est le rôle de DynDNS de te l'éviter
Sur ce merci beaucoup pour ces infos ;)
De rien. Pour avoir un aperçu de ce que fait ssh tu devrais aussi lire ceci (plus besoin de ftp etc...) :
http://doc.ubuntu-fr.org/ssh
Bonne chance
tsukubasa
Messages postés
19
Date d'inscription
lundi 29 novembre 2010
Statut
Membre
Dernière intervention
5 février 2011
29 janv. 2011 à 14:45
29 janv. 2011 à 14:45
Super !
Tout fonctionne parfaitement bien :) (si ça pouvais être comme ça tout le temps ^^) J'ai réussi à paramêtrer un DynDNS, en fait c'est tout bête je remercie l'inventeur de ce système :p, merci beaucoup à toi pour ton aide c'est vraiment sympas, j'essaierais peut-être l'authentification par clé juste pour en apprendre un peu plus là dessus mais sinon je reste là dessus.
Encore merci à toi, un très bon week-end :).
Tout fonctionne parfaitement bien :) (si ça pouvais être comme ça tout le temps ^^) J'ai réussi à paramêtrer un DynDNS, en fait c'est tout bête je remercie l'inventeur de ce système :p, merci beaucoup à toi pour ton aide c'est vraiment sympas, j'essaierais peut-être l'authentification par clé juste pour en apprendre un peu plus là dessus mais sinon je reste là dessus.
Encore merci à toi, un très bon week-end :).
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
mamiemando
Messages postés
33079
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
23 avril 2024
7 749
29 janv. 2011 à 19:37
29 janv. 2011 à 19:37
Tout fonctionne parfaitement bien :) (si ça pouvais être comme ça tout le temps ^^)
Bienvenue dans le monde fabuleux de Linux ;-) ssh, l'un des plus beaux outils avec mount chroot (qui n'ont rien à voir mais qui contribuent à la beauté de linux).
J'ai réussi à paramêtrer un DynDNS, en fait c'est tout bête je remercie l'inventeur de ce système :p, merci beaucoup à toi pour ton aide c'est vraiment sympa
Ne t'en fais pas, j'imagine que quand tu te sentiras à l'aise sous Linux tu participeras à des forums pour partager ton savoir. C'est comme ça que ça marche le libre. On t'aide à démarrer et quand tu te sens prêt tu te contribues. C'est un cercle vertueux :-)
J'essaierai peut-être l'authentification par clé juste pour en apprendre un peu plus là dessus mais sinon je reste là dessus.
Oh ben tu verras une fois que tu as généré ton couple de clé et que tu as compris comment l'installer, c'est juste une option à chercher dans sshd. Ça ne va pas chercher très loin et dans un premier temps ce n'est pas forcément très important, surtout si tu as été soigneux au niveau des logins, des mots de passe et du port.
Bonne continuation
Bienvenue dans le monde fabuleux de Linux ;-) ssh, l'un des plus beaux outils avec mount chroot (qui n'ont rien à voir mais qui contribuent à la beauté de linux).
J'ai réussi à paramêtrer un DynDNS, en fait c'est tout bête je remercie l'inventeur de ce système :p, merci beaucoup à toi pour ton aide c'est vraiment sympa
Ne t'en fais pas, j'imagine que quand tu te sentiras à l'aise sous Linux tu participeras à des forums pour partager ton savoir. C'est comme ça que ça marche le libre. On t'aide à démarrer et quand tu te sens prêt tu te contribues. C'est un cercle vertueux :-)
J'essaierai peut-être l'authentification par clé juste pour en apprendre un peu plus là dessus mais sinon je reste là dessus.
Oh ben tu verras une fois que tu as généré ton couple de clé et que tu as compris comment l'installer, c'est juste une option à chercher dans sshd. Ça ne va pas chercher très loin et dans un premier temps ce n'est pas forcément très important, surtout si tu as été soigneux au niveau des logins, des mots de passe et du port.
Bonne continuation
tsukubasa
Messages postés
19
Date d'inscription
lundi 29 novembre 2010
Statut
Membre
Dernière intervention
5 février 2011
29 janv. 2011 à 19:50
29 janv. 2011 à 19:50
merci beaucoup :)
