Auteur Sujet: Changer le port d'écoute de SSH, sur Ubuntu 24.04 LTS  (Lu 17633 fois)

0 Membres et 1 Invité sur ce sujet

simon

  • Abonné Orange Fibre
  • *
  • Messages: 1 285
Changer le port d'écoute de SSH, sur Ubuntu 24.04 LTS
« Réponse #60 le: 17 octobre 2024 à 15:33:44 »
bon ben deja avoir ssh d'ouvert sur le net c'est assez bof bof

Certes, c'est mieux derrière un VPN ou bastion, mais finalement si c'est bien configuré, ca ne pose pas trop de problème.
Le seul exploit d'openssh de ces dernières années permettant un bypass d'authentification n'était même pas lié à ssh lui-même, mais à du code malicieux dans une lib externe (liblzma il me semble?).

Je suis du même avis que toi: changer le port ne sert pas à grand chose en termes de sécurité. Il est probablement bien plus efficace de désactiver l'authentification par mot de passe, mettre PermitRootLogin à no et d'utiliser AllowUsers dans sshd_config.

vocograme

  • Abonné Orange Fibre
  • *
  • Messages: 179
Changer le port d'écoute de SSH, sur Ubuntu 24.04 LTS
« Réponse #61 le: 17 octobre 2024 à 15:34:24 »
bon ben deja avoir ssh d'ouvert sur le net c'est assez bof bof
et en plus essayer de se planquer en changer le port...

je sais pas ce qui est plus pire :)

Changer de port n'est pas forcément une mesure de sécurité, mais ça permet quand même d'alléger drastiquement la quantité de logs sur le serveur  :D

vocograme

  • Abonné Orange Fibre
  • *
  • Messages: 179
Changer le port d'écoute de SSH, sur Ubuntu 24.04 LTS
« Réponse #62 le: 17 octobre 2024 à 15:35:34 »
Certes, c'est mieux derrière un VPN ou bastion, mais finalement si c'est bien configuré, ca ne pose pas trop de problème.
Le seul exploit d'openssh de ces dernières années permettant un bypass d'authentification n'était même pas lié à ssh lui-même, mais à du code malicieux dans une lib externe (liblzma il me semble?).

Je suis du même avis que toi: changer le port ne sert pas à grand chose en termes de sécurité. Il est probablement bien plus efficace de désactiver l'authentification par mot de passe, mettre PermitRootLogin à no et d'utiliser AllowUsers dans sshd_config.

Complètement d'accord, un service SSH n'acceptant que la connexion par certificat est assez tranquille niveau sécurité, même exposé sur Internet, dans les cas où on ne peut pas faire autrement que d'exposer c'est très satisfaisant niveau sécu.

vivien

  • Administrateur
  • *
  • Messages: 48 805
    • Bluesky LaFibre.info
Changer le port d'écoute de SSH, sur Ubuntu 24.04 LTS
« Réponse #63 le: 17 octobre 2024 à 16:30:53 »
Le port 22, c'est multiplier les tentatives par un facteur de 10 000.

Pour moi, c'est une solution d'atténuation intéressante, qui ne dispense pas d'avoir un sécurité robuste.

la connexion par certificat est assez tranquille niveau sécurité, même exposé sur Internet
Attention, il pourrait y avoir des failles de sécurité, la brute force n'est pas le seul danger.

Tu vois par exemple des failles qui peuvent intervenir avant même le firewall cf Faille dans l'implémentation d'IPv6 sous Windows: possibilité d'exécuter du code (bloquer les flux sur le firewall n'est d'aucune utilité, car c'est avant), donc des failles SSH pourraient intervenir également tôt et toucher ceux qui n'ont qu'une authentification par certificat.

pju91

  • Abonné Free fibre
  • *
  • Messages: 1 023
  • 91
Changer le port d'écoute de SSH, sur Ubuntu 24.04 LTS
« Réponse #64 le: 17 octobre 2024 à 16:39:07 »
Le port 22, c'est multiplier les tentatives par un facteur de 10 000.
Il y a quelques années, je me souviens avoir ouvert le port 22 + NAT IPv4 vers une machine chez moi, j'ai refermé au bout de quelques minutes quand j'ai vu le nombre de "probe" ssh avec des tentatives de login sous root ou autre compte. J'ai vraiment été impressionné, car mon IP n'était référencée nulle part. Il y a des "bots" qui doivent passer leur temps à scanner des blocs entiers et à tenter des connexions ssh dès que ça répond. Quand tu dis facteur 10 000, tu dois être dans l'ordre de grandeur.

basilix

  • Abonné Orange Fibre
  • *
  • Messages: 550
Changer le port d'écoute de SSH, sur Ubuntu 24.04 LTS
« Réponse #65 le: 17 octobre 2024 à 16:58:56 »
Des machines scannées automatiquement laissent apparaître des services communs mais associés à des ports non standards.

Ce n'est plus de la sécurité ! Cela relève de l'ignorance : pas une bonne pratique.

artemus24

  • Abonné SFR fibre FttH
  • *
  • Messages: 1 718
  • Montignac Lascaux (24)
Changer le port d'écoute de SSH, sur Ubuntu 24.04 LTS
« Réponse #66 le: 17 octobre 2024 à 18:25:50 »
Citation de: Free_Me
bon ben déjà avoir ssh d'ouvert sur le net c'est assez bof bof
Je ne vois pas pourquoi ? Je n'accède pas à mon compte distant avec un mot de passe mais par un certificat SSL.