Auteur Sujet: Changer le port d'écoute de SSH, sur Ubuntu 24.04 LTS (Lu 6543 fois)

zoc · « **Réponse #12 le:** 06 janvier 2024 à 18:22:20 »

Citation de: vivien le 05 janvier 2024 à 20:40:15

Tout n'est pas sec.

Mise à jour de sécurité OpenSSH (CVE-2021-41617) : Le fichier /lib/systemd/system/ssh.socket est mis à jour (pour quelle raison ? je ne vois pas de modification) et écrase le port configuré !

Bah c'est normal, on te l'a dit plus haut... Les fichier dans /lib/systemd ne sont pas considérés comme des fichiers modifiables par l'utilisateur, et sont donc écrasés à chaque mise à jour.

La bonne solution, c'est d'utiliser "systemctl edit ssh.socket" qui va créer un "override" dans /etc/systemd/system. Au chargement, systemd lit la configuration dans /lib/systemd et la surcharge par la configuration dans /etc/systemd.

vivien · « **Réponse #13 le:** 08 janvier 2024 à 10:40:42 »

Quand j'utilise sudo systemctl edit ssh.socket, il écoute bien sûr le port demandé, mais il écoute aussi sur le port 22 ! (on a ajouté un port supplémentaire d'écoute et pas remplacé le port 22)

La bonne méthode ne serait pas de rajouter --full : sudo systemctl edit --full ssh.socket et modifier le port ?

Nh3xus · « **Réponse #14 le:** 08 janvier 2024 à 10:59:10 »

J'apprécie tous les jours un peu plus, le formidable travail de Lennart Poettering...

macmonac · « **Réponse #15 le:** 08 janvier 2024 à 11:06:09 »

C'est peut-être comme ExecStart, il faut peut-être en définir un "vide" pour "nettoyer" et redéfinir après ?

Genre :

Code: [Sélectionner]

[Socket]
ListenStream=
ListenStream=2222

pju91 · « **Réponse #16 le:** 08 janvier 2024 à 11:47:41 »

Citation de: Nh3xus le 08 janvier 2024 à 10:59:10

J'apprécie tous les jours un peu plus, le formidable travail de Lennart Poettering...

C'est ironique ?

ppn_sd · « **Réponse #17 le:** 08 janvier 2024 à 11:52:18 »

Citation de: macmonac le 08 janvier 2024 à 11:06:09

C'est peut-être comme ExecStart, il faut peut-être en définir un "vide" pour "nettoyer" et redéfinir après ?

C'est bien le comportement décrit par la doc :

Citer

ListenStream=, ListenDatagram=, ListenSequentialPacket=
[...]
These options may be specified more than once, in which case incoming traffic on any of the sockets will trigger service activation, and all listed sockets will be passed to the service, regardless of whether there is incoming traffic on them or not. If the empty string is assigned to any of these options, the list of addresses to listen on is reset, all prior uses of any of these options will have no effect.

Donc /etc/systemd override /lib/systemd, mais pas trop. C'est limpide !

pju91 · « **Réponse #18 le:** 08 janvier 2024 à 12:04:21 »

Citation de: kgersen le 22 décembre 2023 à 21:41:54

et ensuite on met le port classiquement dans /etc/ssh/sshd_config (ou le .d)

Si j'en crois le résultat des commandes ci-dessous, c'est aussi comme ça que ça fonctionne sur Fedora :

Code: [Sélectionner]

$ systemctl status sshd |head -7
● sshd.service - OpenSSH server daemon
     Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; preset: disabled)
    Drop-In: /usr/lib/systemd/system/service.d
             └─10-timeout-abort.conf
     Active: active (running) since Sun 2023-12-31 12:57:55 CET; 1 week 0 days ago
       Docs: man:sshd(8)
             man:sshd_config(5)

$ man sshd_config|grep "Port "
       Port    Specifies the port number that sshd(8) listens on.  The default is 22.  Multiple options of this type are permitted.  See also ListenAddress.

Nh3xus · « **Réponse #19 le:** 08 janvier 2024 à 12:22:31 »

Citation de: pju91 le 08 janvier 2024 à 11:47:41

C'est ironique ?

Tout à fait.

zoc · « **Réponse #20 le:** 08 janvier 2024 à 16:23:03 »

Citation de: macmonac le 08 janvier 2024 à 11:06:09

C'est peut-être comme ExecStart, il faut peut-être en définir un "vide" pour "nettoyer" et redéfinir après ?

J'avais oublié ce "détail" effectivement.

artemus24 · « **Réponse #21 le:** 08 janvier 2024 à 17:27:45 »

Salut à tous.

Je ne comprends pas ce besoin de changer la numérotation des ports pour se protéger d'une intrusion.
Je retrouve le même problème avec les ports 80 et 443 qui sont changés systématiquement dans WampServer.
Une des raisons est l'usage de "Skype" ainsi que de "IIS" installées dans votre Windows, qui utilisent les mêmes ports.
Le mieux est encore de les désinstaller pour ne pas avoir ce genre de problème.

J'ai un site web que j'accède à distance par le port 22.
Pour me protéger, j'utilise une clef ssh public qui se trouve renseignée dans le fichier "Authorized_keys", du répertoire ".ssh" à la racine de mon compte utilisateur.
Dans mon ordinateur, celui qui va me servir à me connecter à distance, je possède la clef ssh privée.
J'accède par Putty, qui a été configuré en conséquence, et j'entre sans que l'on me demande mon compte et mon mot de passe.
Quelqu'un qui n'a pas cette clef ssh devra s'identifier en précisant le compte et son mot de passe qui, bien sûr, a été renseigné d'une manière compliquée.

Il y a aussi une autre façon de protéger l'accès par le port 22, en autorisant uniquement certaines adresses IP dans iptables.
Cela implique d'avoir une adresse ip fixe, sinon cette astuce ne fonctionne pas.

macmonac · « **Réponse #22 le:** 08 janvier 2024 à 18:58:05 »

Citation de: artemus24 le 08 janvier 2024 à 17:27:45

Je ne comprends pas ce besoin de changer la numérotation des ports pour se protéger d'une intrusion.

C'est une question de plage de scan.
Quand tu recherches une vulnérabilité, tu es beaucoup plus efficace si tu connais d'avance le port et le protocole.
Donc, je pense que sur des recherches massives, c'est efficace surtout au-dessus de 1024.

Après sur une recherche ciblée, c'est à mon avis sans efficacité. Le port knocking peut être une solution.

Le problème, c'est surtout d'imposer ce changement massif. Comme c'est massif, tu rajoutes SSH 2222 aux scanner et retour à la case départ.
Enfin, ce port est dans la plage utilisateur, il y a peut-être moyen d'empêcher le démarrage d'un processus système avec un processus utilisateur...
Bref ça sent la fausse bonne idée à mon avis.

Le pire, c'est si tu te retrouves derrière un firewall filtre les sorties, quand les ports sont non standard ... C'est mort.

A+

vivien · « **Réponse #23 le:** 08 janvier 2024 à 19:33:26 »

TCP 2222, c'est un exemple, ce n'est pas forcément le plus pertinent.
Je conseille de mettre SSH au-delà de 10 000 premiers ports, car les 10 000 premiers ports sont plus scannés que les autres.

Cela oblige l'attaquant à scanner 65000 ports et plus il scan de port, plus il peut se fait repérer et bloquer.

Changer le port est une mesure gratuite qui permet d'augmenter le niveau de sécurité pour pas cher et qui est compatible avec d'autres mesures de protection.