(Courriels de diversion: <pressentions@ajustant-deplafonneront.com> <dimensionnee@fragmenterais-chirurgiens.com> <terrifieriez@motocyclette-evasion.com> <succombiez@frayait-redistribueras.com> <ca@sanatorium-bourrer.com> <hemostatique@abattoirs-constellation.com> <consommions@ressuscitees-colles.com> <paralyses@maximisera-garbure.com> <rhabillaient@reconstruisais-militairement.com> <depoetiser@coďncidaient-virevolteront.com> )
Je partage les points de vue de Pascal sur le fait que la modification de port n'est à mon sens pas une solution ! C'est paradoxal mais l'open source se bat pour avoir des standard ouverts, dont l'attribution des No de port font partie, on peut les respecter, d'autant plus qu'un simple fail2ban facile à mettre en oeuvre fixe ce problème en offrant un reporting actif sur les vilains pirates :P (mail avec whois pour chaque blocage). Je suis un adepte de fail2ban qui a "dé-stressé" les serveurs que je gère depuis un moment. J'avais posté un ti tuto ici pour la mise en place sur les dédiés ovh en release 1 (pour les adeptes) : http://forum.inforeseau.com/installer-fail2ban-sur-serveur-dedie-ovh-release-1-t82.html qui comporte aussi la mise en place pour le blocage des attaques similaires sur le pop via vpopmail (pour ceux qui utilisent le couple qmail/vpopmail) limitant ainsi la casse sur ce biais là aussi.... Et ici pour l'installation de fail2ban sur une Fedora 11 : http://forum.inforeseau.com/fail2ban-sur-fedora-11-avec-python2-6-et-2-5-t505.html (Qui comporte le besoin de compiler une ancienne version de python pour l'execution, chose que si révèle très simple :) ) Voilà , on sait jamais, si ça peut aider ;) A++ Alexandre BLANC Le dimanche 02 août 2009 à 16:01 +0200, Pascal Hambourg a écrit : > jdd a écrit : > > Dans la configuration d'un serveur, j'ai vu recommander d'utiliser un > > port différent du port par défaut pour sécuriser la liaison ssh. > > > > Je me pose des questions. > > > > * si c'est vraiment plus sûr, pourquoi n'est-ce pas conseillé dans la > > doc ssh? ou bien je ne l'ai pas vu? > > J'ajoute qu'il existe des contre-mesures plus efficaces, car efficaces > aussi contre les attaques ciblées, et n'ayant pas les inconvénients d'un > port non standard. Par exemple la désactivation de l'authentification > par mot de passe ou les logiciels de type fail2ban qui bannissent une > adresse source en cas d'échecs d'authentification répétés. Je suis moins > favorable au port knocking qui nécessite un aménagement côté client > comme pour l'utillsation d'un port différent. > > ----------------------------------------------------------------- > Les listes de diffusion du CULTe - Pour une informatique libre > http://www.CULTe.org/listes/ > Pour se desabonner: > mailto:linux-31-unsubscribe@CULTe.org?subject=Cliquez_sur_ENVOYER> ----------------------------------------------------------------- Les listes de diffusion du CULTe - Pour une informatique libre http://www.CULTe.org/listes/ Pour se desabonner: mailto:linux-31-unsubscribe@CULTe.org?subject=Cliquez_sur_ENVOYER