(Courriels de diversion: <reveree@vouais-flambante.com> <rebâtiraient@bêcherent-ecrie.com> <debattirent@monnayerons-tranquilliseraient.com> <exhumes@demangeaisons-relaxe.com> <disperseraient@admettront-pressentions.com> <ajustant@deplafonneront-dimensionnee.com> <fragmenterais@chirurgiens-terrifieriez.com> <motocyclette@evasion-succombiez.com> <frayait@redistribueras-ca.com> <sanatorium@bourrer-hemostatique.com> )
2009/8/2 jdd <jdanield@free.fr>:> Cédric a écrit : > >>> * si c'est vraiment plus sûr, pourquoi n'est-ce pas conseillé dans la >>> doc ssh? ou bien je ne l'ai pas vu? >> >> Parce qu'il faut bien un port en standard, > > je voulais dire que la doc pourrait recommander de changer cette valeur peut-être une question de fierté ;o) >> sécurisé. Personnellement, je n'ai quasiement plus de tentatives >> d'accès frauduleux sur mon ssh depuis que j'ai changé le port. > > faut espérer, quand même :-) oui, mais ça arrive parfois quand même (rarement). Et fail2ban prend le relais dans ces cas-la. >>> * pour peu que le mot de passe ne soit pas trop évident, une attaque >>> "dictionnaire" de ssh a-t-elle vraiment des chances d'aboutir? >> >> Tout dépend du temps que le pirate veut investir dans l'attaque. > > oui, mais justement, quel temps serait nécessaire? C'est une question > de combinatoire. Est-ce que le risque que le mot de passe soit trouvé > de cette façon est réel? (le risque qu'il soit trouvé autrement est > autre chose) et bien pour un mot de passe disons de 10 caractères, alphanumériques, maj/min, et des caractères spéciaux, ça fait un choix de près de 80 caractères différents. Ce qui fait 80^16= 2814749767106560000000 milliards de combinaisons. Imaginons que le serveur n'a aucun mécanisme de sécurité sur le nombre max d'essais de connexion à ssh, que l'attaquant envoie 100 tentatives par seconde, ça lui prendrait jusqu'à 915115795069 milliards d'années (au maximum, s'il est malchanceux). L'attaquant peut peut-être augmenter la cadence s'il est sur le même LAN, voir s'il a un accès à compte utilisateur sur la machine. On peut en conclure que le risque n'est pas vraiment réel, donc... D'ailleurs le piratage le plus courant est le piratage social : trouver des informations qui permettent de deviner les mots de passe ;o) >> nombre de tentatives de connection. Et pour ce qui est des logs, tu >> peux quand même logguer les tentatives d'accès à un port ;) > > si ca se trouve c'est le log qui charge le plus :-) peut-être ! sans oublier le risque de remplir la partition qui contient les logs... >> utilise shorewall > > l'auteur du parefeu d'openSUSE semble très sur de la qualité de son > système :-) C'était un exemple de ce que je connais, y'a surement plein d'autres interfaces à iptables très bien, comme celle dont tu parles. a+ -- cedric http://eyes.neuneuil.com ----------------------------------------------------------------- Les listes de diffusion du CULTe - Pour une informatique libre http://www.CULTe.org/listes/ Pour se desabonner: mailto:linux-31-unsubscribe@CULTe.org?subject=Cliquez_sur_ENVOYER