Installation d'une dédibox sous Debian - Modification du port sshd
Par Mathieu Muller le jeudi, 7 octobre 2010, 14:54 - Web - Lien permanent
La plupart des outils de hackers sont des outils de brute forcing qui ne cherche pas à forcément agir dans la finesse. On peut donc leurrer la plupart de ces programmes néfastes en changeant tout simplement le port du démon SSH (cela ne garantit toutefois pas une sécurité suffisante, il ne faut pas se leurrer).
Pour cela, nous allons devoir modifier plusieurs choses: la configuration du serveur SSH, la configuration d'iptables, et la configuration de fail2ban.
Attention! Il est très important de faire les opérations dans l'ordre, sinon vous risquez de vous faire déconnecter de votre serveur et de vous bloquer l'accès SSH!
Nous commençons par créer une nouvelle configuration iptables, basée sur la configuration précédente:
Host:/home/User/# cp /etc/iptables/iptables.conf.0 /etc/iptables/iptables.conf.1
Dans le fichier, nous allons remplacer l'ancien port par défaut de SSH qui est le 22 part un port différent (disons le 2222, mais cela pourrait être n'importe quelle valeur. Préférez toutefois un port non utilisé dans la liste des ports officiels). Les lignes:
# SSH port -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
deviennent donc:
# SSH port -A INPUT -i eth0 -p tcp -m tcp --dport 2222 -j ACCEPT
On édite ensuite le fichier de configuration du démon SSH:
Host:/home/User# vim /etc/ssh/sshd_config
Et on remplace les lignes:
# What ports, IPs and protocols we listen for Port 22
part:
# What ports, IPs and protocols we listen for Port 2222
De plus, on peut rechercher les lignes:
PermitRootLogin yes
et les remplacer par:
PermitRootLogin no
Et rajouter:
AllowUsers VotreNomUtilisateur
Pour n'accepter que votre nom d'utilisateur en login SSH.
Il nous faut ensuite dans l'ordre redémarrer SSH, puis tester le nouveau fichier de configuration iptables:
Host:/home/User/# /etc/init.d/ssh restart Host:/home/User/# iptables-restore /etc/iptables/iptables.conf.1
Vous devriez pouvoir maintenant vous connecter avec une nouvelle connexion sur votre machine, sur le port sélectionné précédemment. Si vous arrivez à vous connecter, vous pouvez valider votre nouveau fichier de configuration iptables:
Host:/home/User/# rm /etc/iptables/iptables.conf; ln -s /etc/iptables/iptables.conf.1 /etc/iptables/iptables.conf
Il ne nous reste plus qu'à modifier fail2ban pour tenir compte des nouvelles modifications. On utilise le même principe, qu'avant, à savoir une copie du fichier de configuration précédent:
Host:/home/User/# cp /etc/fail2ban/jail.local.0 /etc/fail2ban/jail.local.1
Et on modifie les lignes suivantes:
[ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 6
part:
[ssh] enabled = true port = 2222 filter = sshd logpath = /var/log/auth.log maxretry = 6
On n'oublie pas de mettre à jour le lien symbolique:
Host:/home/User# rm /etc/fail2ban/jail.local; ln -s /etc/fail2ban/jail.local.1 /etc/fail2ban/jail.local
Il ne vous reste plus qu'à rebooter votre serveur et a tenter une connexion sur le port 2222. Si tout va bien vous devriez pouvoir vous relogguer sans souci et continuer vos opérations.
Commentaires
Je ne suis pas spécialiste des dédibox et encore moins administrateur système mais je me demandais pourquoi un reboot était nécessaire ?
Le redémarrage des services n'est t'il pas suffisant ?
Normalement le redémarrage du service (je le fais) est suffisant. Toutefois, étant donné que sshd est un des premiers services que l'on configure, je préfère tenter un reboot du système pour voir qu'on arrive toujours à se relogguer, même après un reboot un peu olé olé suite à un crash / whatever.
Ce qui m'inquiète surtout c'est la configuration iptables / sshd. Il m'est déjà arrivé de voir un lien symbolique faux sur iptables, qui faisait que le service répondait bien sur 2222, mais le firewall était encore configuré en port 22.
Tiens, tiens, tiens...
(J'ai décidé de pourrir ton blog aujourd'hui :-))
Je le connais cet hurluberlu là, un certain monsieur GuiHome, qui apparemment n'a pas tout compris de cet article... je vais lui expliquer.
Je ne vois pas pourquoi tu veux redémarrer des services, une fois le service passé, il est passé. Et après le 2e service, tu fais sortir tout le monde, tu finis la plonge, tu passes un coup de balai et c'est réglé.
Et je suis de l'avis de Mathieu, ce qui m'inquiète moi aussi c'est la configuration des (ip?)tables, qui selon leur capacité propre peuvent accueillir plus ou moins de personnes. Au final, une bonne organisation de la salle suffit à rythmer une bonne gestion de ton restaurant, c'est pas compliqué.
Cédric R.
Restaurateur de père en fils depuis 2008.