Auteur Sujet: Changer le port d'écoute de SSH, sur Ubuntu 24.04 LTS (Lu 6567 fois)

pju91 · « **Réponse #24 le:** 08 janvier 2024 à 19:38:28 »

Citation de: vivien le 08 janvier 2024 à 19:33:26

Changer le port est une mesure gratuite qui permet d'augmenter le niveau de sécurité pour pas cher et qui est compatible avec d'autres mesures de protection.

Surtout sur un serveur comme lafibre.info qui est très "visible" et subit des attaques régulièrement.

artemus24 · « **Réponse #25 le:** 08 janvier 2024 à 21:21:32 »

Citation de: macmonac

C'est une question de plage de scan.

Même pas, car l'important est de bien configurer son firewall afin que tous les ports non ouverts soient invisibles.
J'utilise le site de "Gibson Research Corporation" pour vérifier l'état des ports.
Pour les ports ouverts, j'ai créé des règles entrantes et sortantes pour interdire les accès que je n'autorise pas.

Dans mes Raspberry Pi, je peux interdire l'accès au compte ROOT. Cela se fait dans le fichier "sshd_config".
Mais je fais mieux, j'interdis tous les accès qui ne se font pas par certificat SSH. Donc aucun accès par login et password.

Pour les ports 80 & 443, j'ai configuré Apache afin d'interdire certaines connexions.
Par exemple interdire une liste d'adresses IP. Ou encore uniquement des accès en protocole HTTP2.

Citation de: macmonac

Bref ça sent la fausse bonne idée à mon avis.

Je suis du même avis que toi.

Citation de: Vivien

Changer le port est une mesure gratuite qui permet d'augmenter le niveau de sécurité pour pas cher et qui est compatible avec d'autres mesures de protection.

Tu peux modifier et mettre n'importe quel port à la place du 22 dans ton ordinateur, l'important est le port qui te sert sur internet, pour entrer dans ta box et ensuite être rediriger (NAT) vers ton ordinateur. Au final, avec un scan, on peut retrouver le port qui sert comme point d'entrée de ta Box. Donc, ce que tu fais ne sert strictement à rien. Ce n'est pas ça qui va augmenter la sécurité de ton ordinateur. Pour assurer les accès, il faut utiliser des certificats SSH.

@+

macmonac · « **Réponse #26 le:** 08 janvier 2024 à 21:44:45 »

Bonjour artemus24,

Je crois que nous connaissons bien ces subtilités

.

Ce qu'il te manque peut-être comme connaissance, ce sont les techniques des "pirates".

Imaginons que ton firewall et ton NAT sont bien configurés pour autoriser que le port 22. S'il y a une faille dans ton serveur SSH, des mots de passe faible, des collisions une clé SSH ( ce que tu appelles probablement un certificat ), etc ....
Les pirates pourront rapidement le trouver en scannant toutes les adresses IPs d'internet sur le port 22.

Si tu changes le port par défaut par un port "aléatoire", tu conserves ta fonctionnalité. Ça devient beaucoup plus compliqué pour les pirates.
Ils doivent scanner environ 60000 ports de plus.
- Donc ça prend +/- 60000 fois plus de temps.
- Ils ont beaucoup plus de chances de se faire détecter et de se faire blacklister.

Bref l'idée de base est intéressante et ne coute pas cher si le port est aléatoire et assez haut dans la plage.

Maintenant en fixant un autre port et surtout le 2222 ( qui est un grand classique ), à mon avis, on pisse dans un violon.

Si tu veux continuer dans la sécurisation de ton RPI, tu peux regarder le port knocking, des outils comme fail2ban, crowdsec, les VPN, etc ...

A+

macmonac · « **Réponse #27 le:** 08 janvier 2024 à 22:06:30 »

Je ne comprends pas encore le choix du port 2222, mais le passage par systemd à deux vocations :
- démarrer plus vite
- consommer moins de ressources

https://dev.to/sneh27/maximizing-efficiency-socket-based-ssh-activation-in-ubuntu-2210-and-above-344b

A+

vivien · « **Réponse #28 le:** 08 janvier 2024 à 22:10:23 »

Le port 2222 est un exemple, je précise bien qu'il faut le changer pour un port supérieur à 10 000.

Que root ne puisse pas se connecter en SSH, c'est la base de la base, bien plus important que changer le port.
Dans la plupart des scans SSH, le user est root.

Pour revenir à la méthode pour changer de port, un grand merci macmonac, c'est exactement ce qu'il fallati faire : (j'ai testé)

Citation de: macmonac le 08 janvier 2024 à 11:06:09

C'est peut-être comme ExecStart, il faut peut-être en définir un "vide" pour "nettoyer" et redéfinir après ?

Genre :
Code: [Sélectionner]
[Socket] ListenStream= ListenStream=2222

Je vais diffuser ce tutoriel sur les sites comme https://www.ubuntu-fr.org/

Ubuntu 23.10 / Ubuntu 24.04 LTS Le port d'écoute de SSH se configure dans systemd :
sudo systemctl edit ssh.socket
Ajouter les 3 lignes suivantes :
[Socket]
ListenStream=
ListenStream=2222 (En remplaçant 2222 par le port de votre choix, prendre de préférence un port au-dessus de 10 000)

Application des paramètres : sudo systemctl daemon-reload puis sudo systemctl restart ssh, mais vous pouvez simplement redémarrer le PC.

macmonac · « **Réponse #29 le:** 08 janvier 2024 à 22:16:40 »

Merci Vivien,

J'avais oublié le début du post. Désolé

.
Donc 2222 -> C'est pour l'exemple
Le passage à systemd -> C'est pour les perfs

Un autre exemple avec ces mêmes explications trouvé en cherchant le pourquoi du comment : https://discourse.ubuntu.com/t/sshd-now-uses-socket-based-activation-ubuntu-22-10-and-later/30189/9

A+

pju91 · « **Réponse #30 le:** 09 janvier 2024 à 09:53:53 »

Citation de: vivien le 08 janvier 2024 à 22:10:23

Je vais diffuser ce tutoriel sur les sites comme https://www.ubuntu-fr.org/

Je viens de vérifier sur Fedora (39, installation "fraîche"), c'est bien /etc/ssh/sshd_config qu'il convient de modifier (directive Port).
Plus évidemment une petite modification SELinux par # semanage port -a -t ssh_port_t -p tcp XXXXX et la mise à jour des règles de firewall.

artemus24 · « **Réponse #31 le:** 09 janvier 2024 à 10:57:22 »

Merci Macmonac pour tes réflexions très pertinente.

Citation de: macmonac

Ce qu'il te manque peut-être comme connaissance, ce sont les techniques des "pirates".

Je crains que oui.

J'ai fréquemment des tentatives d'intrusions avec mon site web de test que j'héberge dans mon Windows.
Grâce à Apache du serveur WampServer, ainsi qu'au pare-feu de Windows, j'arrive à bien me protéger.
Et quand je détecte des petits malins qui sont trop insistant, j'interdis leur adresse IP.

Citation de: macmonac

Maintenant en fixant un autre port et surtout le 2222 ( qui est un grand classique ), à mon avis, on pisse dans un violon.

Nous sommes bien d'accord.
Tôt ou tard, les pirates trouveront ce nouveau port. Donc, ce n'est pas la bonne méthode.
Celle que je privilègie le plus, en dehors des clef SSH, est le pare-feu.

Citation de: macmonac

Si tu veux continuer dans la sécurisation de ton RPI, tu peux regarder le port knocking, des outils comme fail2ban, crowdsec, les VPN, etc ...

Je n'utilise pas les VPN commerciaux comme ceux de NORDVPN qui coute de l'argent et ne servent strictement à rien pour se protéger.
J'ai jadis utilisé OpenVPN en le configurant en tant que serveur dans ma Raspberry Pi et en tant que client dans mon portable. Ca fonctionnait impécable.
Pourquoi j'ai abandonné "OpenVPN" ? J'accède depuis l'internet à partir d'adresses IP fixes.
J'ai configuré les "iptables" et "ip6tables" de ma Raspberry PI pour ne laisser passer que le flux venant de ces adresses IP.

Je connais "fail2ban" mais je ne l'utilise pas.
"crowdsec", je ne connais pas, mais je crois qu'il fait presque la même chose que "fail2ban".
Je vais jeter un œil sur le port knocking que je ne connais pas du tout.

En dehors de ma clef SSH, et des adresses IP fixes (pare-feu), je n'utilise aucune autres solutions sécuritaires.
Si les adresses IP sont dynamiques, je n'ai pas de solutions, sauf ajouter la saisie d'un identifiant et d'un mot de passe supplémentaire.

Je précise aussi qu'il faut renommer son compte "pi" utilisateur en autre chose, connue seulement que de vous.

Je ne conseille pas d'installer des applications pare-feu car ils peuvent posséder des portes dérobées.
Ce qui permet à son concepteur ou à la société qui le commercialise de venir visiter votre ordinateur quand il le veut.
Comme toute chose, il faut s'investir dans la sécurité et faire beaucoup de tests pour fiabiliser ce que l'on met en place.

vivien · « **Réponse #32 le:** 09 janvier 2024 à 12:22:07 »

Pour la sécurité, une bonne chose est de demander à SSHd de ne pas écouter en IPv4 et d'écouter uniquement en IPv6 sur une IPv6 dédiée à son usage qui contient des bits aléatoires et non l'IPv6 séquentielle suivante de l'IPv6 web.
J'ai peur que avec systemd, les lignes que je rajoute habituellement dans /etc/ssh/sshd_config.d/ ne fonctionnent plus

Code: [Sélectionner]

AddressFamily inet6
ListenAddress [2103:b860:de01:1100:2200:abcd:ef01:1100]

Le changement de port est un plus pour cacher SSHd (il faut trouver l'IPv6 et le port).

vivien · « **Réponse #33 le:** 09 janvier 2024 à 12:25:08 »

Sinon SSHd ne devait pas être utilisé par inetd : "sshd is normally not run from inetd because it needs to generate the server key before it can respond to the client, and this may take tens of seconds. Clients would have to wait too long if the key was regenerated every time." (source)

Comment fait systemd pour cette clé serveur ? (c'est toujours d'actualité ? SShd ne met pas 10 secondes à se lancer aujourd'hui.

Cette clé serveur, c'est celle générée lors de l'installation de sshd, non ? (là oui, cela met une dizaine de secondes)

kgersen · « **Réponse #34 le:** 09 janvier 2024 à 17:17:23 »

C'est ssh 1 qui fonctionnait comme cela (regen clé toutes les heures). Ssh 2 n'a pas ce souci.

kgersen · « **Réponse #35 le:** 09 janvier 2024 à 17:55:35 »

Citation de: pju91 le 08 janvier 2024 à 19:38:28

Surtout sur un serveur comme lafibre.info qui est très "visible" et subit des attaques régulièrement.

la bonne "pratique" c'est qu'un site comme lafibre.info ne devrait pas avoir de port ssh ouvert sur aucune de ses IPs connus. (v4 et v6 donc). point barre.