Le 25/04/2024 à 23:07, Sebastien Guilbaud a écrit :
Le 25/04/2024 à 17:29, Sebastien Guilbaud a écrit : > c'est de la sécurité par l'obscurité, C'est la mesure la plus efficace (sauf si c'est la seule).
bof, se dire que les vilains ne trouveront pas le service ssh vu que tu l'as mis sur un autre port, ca peut donner une fausse sensation de sécurité, c'est ce que j'appelle la sécurité par l'obscurité.
Ma remarque sur l'importance de la discrétion dans la sécurité est générale et ne concerne pas que le changement de port d'un service standard. La "sécurité par l'obscurité" est une meilleure approche que sa réputation ne le laisse entendre.
C'est dommage de tomber sur cette technique en première étape de tutos à neuneus qui ne prennent même pas la peine de bloquer l'authentification par mot de passe ou jouer un peu avec MaxStartups pour réduire le débit des bruteforce.
La mesure réellement la plus efficace, c'est que le service ne soit pas ouvert à tous vents. (filtrage sur IP source, VPN ou port knocking comme dit plus haut)
Effectivement, croire que le seul changement de port protègerait est vraiment naïf. Quant à la protection par simple mot de passe sur un accès ssh, c'est une technique obsolète.
Changer le port ssh a l'inconvénient de sortir du standard ; si l'administration devait être reprise par quelqu'un d'autre, ce serait une source de galère supplémentaire.
Argument recevable mais alambiqué. Si tu refiles l'admin à quelqu'un d'autre, tu remets tous les sshd exposés sur le port 22 et basta
Je pensais à une reprise sans transfert ni préalable…
et quand tu distribues la conf ssh versionnée à tous les collègues pour accéder à toutes les machines derrière le rebond, c'est un non-problème. (Merci openssh 7.3p1+ et ~/.ssh/config.d/)
De plus, les tentatives de connexions ssh permettent de faire une moisson d'adresse IP à bloquer. Sans être un expert en attaque, je me dis que même les pirates pro (pas les kiddies donc) ne doivent pas se priver de commencer à tester le port 22 et là, paf, il sont bloqués avant de mettre en œuvre des techniques d'attaques plus avancées ou plus larges que celles des kiddies.
toi, t'as pas regardé ce que fait endlessh :) ça ne bloque rien, tu collectes aussi les adresses des attaquants si ça t'intéresse, mais tu leur fais surtout perdre du temps avec une réponse protocolairement correcte, juste très lente. (en consommant très peu de ta bande passante, même avec un grand nombre d'attaquants simultanés)
J'ai suivi le lien que tu nous a indiqué vers endlessh-go. C'est fascinant de pouvoir ainsi visionner, sur une superbe présentation graphique, les pirates "du monde entier" en train de butiner inutilement ton port 22 ! Cela a l'air encore mieux que la télé pour se distraire :-)
Par contre, au niveau amélioration de la sécurité : bof.