(Courriels de diversion: <ecrie@debattirent-monnayerons.com> <tranquilliseraient@exhumes-demangeaisons.com> <relaxe@disperseraient-admettront.com> <pressentions@ajustant-deplafonneront.com> <dimensionnee@fragmenterais-chirurgiens.com> <terrifieriez@motocyclette-evasion.com> <succombiez@frayait-redistribueras.com> <ca@sanatorium-bourrer.com> <hemostatique@abattoirs-constellation.com> <consommions@ressuscitees-colles.com> )
Salut, jdd a écrit :
Bonjour, Dans la configuration d'un serveur, j'ai vu recommander d'utiliser un port différent du port par défaut pour sécuriser la liaison ssh.
Bof. Je suis contre par principe.
Je me pose des questions. * si c'est vraiment plus sûr, pourquoi n'est-ce pas conseillé dans la doc ssh? ou bien je ne l'ai pas vu?
Ce n'est ni plus ni moins que de la sécurité par l'obscurité, complètement à l'opposé de la philosophie de SSL et SSH basée sur un standard ouvert et des ports standard.
* pour peu que le mot de passe ne soit pas trop évident, une attaque "dictionnaire" de ssh a-t-elle vraiment des chances d'aboutir?
Pour faire court : non.Avec des mots de passe solides, AMA le seul véritable risque des attaques automatiques par force brute ou au dictionnaire est d'inonder les logs, noyant dans la masse les vraies attaques ciblées et dangereuses qui peuvent ainsi passer inaperçues.
Or une discussion récente m'a laissé entendre qu'une tentative de connection sur un port fermé (c'est à dire non ouvert?) est aussi sinon plus pénalisante pour le système qu'une connection sur le parefeu correctement configurée.
La différence est négligeable, à moins d'un flood (mais dans ce cas il risque d'y avoir d'autres soucis).
- Port fermé : la couche TCP du noyau renvoie un RST.- Port filtré : le pare-feu inséré dans la couche IP du noyau renvoie un RST, une erreur ICMP ou rien du tout (c'est mal).
----------------------------------------------------------------- Les listes de diffusion du CULTe - Pour une informatique libre http://www.CULTe.org/listes/ Pour se desabonner: mailto:linux-31-unsubscribe@CULTe.org?subject=Cliquez_sur_ENVOYER