On Tue, 20 Jan 2009 01:48:42 +0100 Alain Vaugham <[email protected]> wrote:
> J'ai listé toutes les réponses reçues : > - le changement du port du sshd C'est con, un coup de nmap et on le retrouve ton port. > - l'interdiction de login par mot de passe en basculant sur des clefs bof ... > - l'autorisation d'un seul utilisateur à se loguer avec ssh > - l'utilisation des tcpwrappers > - l'utilisation de fail2ban c'est redondant. il y aussi denyhost (écrit en python plutot que perl) > - le blocage des ip sources avec iptables tcpwrappers c'est plus propre... iptable c'est un truc a scier la branche sur laquelle ont assis. > - le montage de la tuyauterie du mail "sésame ouvre-toi pendant 1 minute" > - le port knocking pourquoi pas. > Donc ce que je vais faire est loin d'être aussi élégant que toutes les > réponses que vous m'avez fournies. > Je suis en train d'entraîner mes deux utilisateurs à taper 192.168.1.1, puis > à > se loguer comme admin sur la box. Lorsqu'ils seront mûrs je leur ferai fermer > les ports 22 et 5900. Ils seront également mûrs pour faire l'inverse afin de > reprendre nos séances de découverte (vncviewer). Un conseil : fait passer ton 5900 par le SSH et ferme le port 5900 car c'est pas sécu du tout !!! ssh -L5900:localhost:5900 remote vncviewer loaclhost:5900 -- Jérôme KIEFFER http://www.terre-adelie.org _________________________________ Linux mailing list [email protected] http://lists.parinux.org/mailman/listinfo/linux
