DEDIBOX-NEWS.COM

On ne le dira jamais assez, un brute force c'est : analyser le port 22, tenter de se connecter avec des comptes courants usuels, tenter de trouver un mot de passe insufisamment compliqué.

Du coup :
- à l'installation de la dédibox dans la console Dédibox je précise bien que root ne doit pas pouvoir se connecter par ssh (bien que curieusement je vois peu de tentatives de connexions en "root" dans les logs auth.log de mes machines) ;
- je configure dans /etc/ssh/ssh_config mon port SSH pour autre chose que 22 (7642, etc.) ;
- je prends un mot de passe assez compliqué dès le départ (ex. 8 caractères minimums, mot qui ne veuille rien dire, au moins 2 chiffres et au moins un caractère hors plage [A-z0-9]) ;
- je mets en place un mécanisme de clés privées / clés publiques pour me connecter par SSH sans mot de passe ;
- éventuellement, je déclare une adresse IP qui sera la seule à pouvoir se connecter par ssh sur ma machine
- j'installe "fail2ban" ou "denyhost" (j'utilise ce dernier) pour blacklister automatiquement les IPs qui se plantent après 3 connexions (attention à bien mettre votre IP en "toujours autorisé" sinon çà peut vous arriver aussi de vous planter 3x à la connexion si vous n'utilisez pas de clés ssh )

Par contre j'ai quelques questions :

- est-ce que vous utilisez vraiment la restriction par adresse IP, en mettant uniquement votre adresse IP fixe de la maison (FAI) ? Je l'ai fait sur ma dédibox mais çà me stresse un peu, si demain j'ai un souci avec ma ligne ADSL (coupure pendant 3 semaines, voir changement d'ip, changement de fai en urgence pour une raison de facturation avec coupure de la ligne, etc.), je ne pourrai plus me connecter sur ma box (je n'ai pas de 2e adresse fixe alternative sous la main que je pourrais mettre) ; du coup çà me paraît un peu dangereux (je dois être un peu paranoiaque, mais d'expérience, c'est le genre de trucs qui finit par arriver et dans ce cas -> support ou réinstallation par la console, pas glop) ;

- s'il y a bien un truc qui me gêne sous Linux c'est la création de tous ces comptes "peu utiles" (çà se discute mais bon) du type "games", "www-data", "mysql", "sshd", "ntop", "mail-news", "sync", "daemon", "bin", etc., la liste est longue (voir /etc/passwd après une installation from scratch) ; comment être sûr qu'ils sont bien tous "sécurisés", vu que leur création est automatique ... je trouve ce mécanisme un peu ... barbare, d'avoir autant de comptes déclarés sur une machine, même si je sais bien que c'est justement pour que le système soit sécurisé (chaque programme s'exécute en tant que tel ou tel identifiant  donc sans avoir les droits root) ; mais bon çà me fatigue quand même d'avoir un compte "irc" alors je n'ai pas de serveur irc dessus, pareil pour "games", "lp" (pas d'imprimante sur une dédibox ...), "proxy", ...

Bonjour,

1) J'ai deux lignes en load balancing...je passe par telle ou telle ligne si un problème survient...

2) Sur certains systèmes, tu peux mettre en place des stratégies (allocation de ressources par exemple) en fonction de classes d'utiliseurs. De plus la séparation des privilèges fait partie de la stratégie de sécurité de certains systèmes.

Dernière modification par highleaf (2007-10-16 04:29:37)