Re: interdire accès SSH

[Vincent Lefevre]

On 2012-05-11 18:05:06 +0200, andre_deb...@numericable.fr wrote:
> On Friday 11 May 2012 17:25:06 Samy Mezani wrote:
> > le 11/05/2012 17:10, andre_deb...@numericable.fr a écrit:
> > > Mais du coup je n'arrive plus à me connecter
> > > avec Konqueror en mode SFTP :
> > > sftp://
> > > Comment lui dire d'aller lire un autre port que le 22 ?
> 
> > Bonjour,
> > Et avec "sftp://@:/chemin/dossier", ça marche ?
> > Samy
> ---
> 
> Merci pour vos bonnes réponses et tuyaux,
> ça marche très bien + sftp.

L'autre solution est de passer via un .ssh/config, comme je l'ai
indiqué. Évidemment, c'est à faire sur tous les clients.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120513013208.gd27...@xvii.vinc17.org

Re: interdire accès SSH

[Vincent Lefevre]

On 2012-05-11 17:15:44 +0200, Sébastien NOBILI wrote:
> Le vendredi 11 mai 2012 à 16:26, Vincent Lefevre a écrit :
> > Mais il y a des endroits où les ports "non standard" sont filtrés.
> > J'avais dû ainsi utiliser le port 443 (habituellement https), libre
> > sur ma machine. Maintenant, les derniers problèmes que j'avais
> > remarqués, ça devait être en 2004. La politique des sites a peut-être
> > évolué...
> 
> Pas sûr que les gens qui ont un jour bloqué le trafic vers un port 22
> l'aient débloqué depuis…

Ça peut être une règle sur une machine ou routeur. Le matériel a
probablement changé en 8 ans, et les règles ont aussi peut-être
changé par la même occasion.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120513013020.ga28...@xvii.vinc17.org

Re: interdire accès SSH

[andre_debian]

On Friday 11 May 2012 17:25:06 Samy Mezani wrote:
> le 11/05/2012 17:10, andre_deb...@numericable.fr a écrit:
> > Mais du coup je n'arrive plus à me connecter
> > avec Konqueror en mode SFTP :
> > sftp://
> > Comment lui dire d'aller lire un autre port que le 22 ?

> Bonjour,
> Et avec "sftp://@:/chemin/dossier", ça marche ?
> Samy
---

Merci pour vos bonnes réponses et tuyaux,
ça marche très bien + sftp.

J'ai installé "fail2ban" , "denyhosts".

auth.log :
je ne vois plus de tentatives d'intrusion ...

andré

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/201205111805.06938.andre_deb...@numericable.fr

Re: interdire accès SSH

[Samy Mezani]

le 11/05/2012 17:10, andre_deb...@numericable.fr a écrit:

Mais du coup je n'arrive plus à me connecter
avec Konqueror en mode SFTP :
sftp://

Comment lui dire d'aller lire un autre port que le 22 ?


Bonjour,
Et avec "sftp://@:/chemin/dossier", ça marche ?

Samy

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4fad2f52.5050...@wanadoo.fr

Re: interdire accès SSH

[Sébastien NOBILI]

Le vendredi 11 mai 2012 à 16:26, Vincent Lefevre a écrit :
> Mais il y a des endroits où les ports "non standard" sont filtrés.
> J'avais dû ainsi utiliser le port 443 (habituellement https), libre
> sur ma machine. Maintenant, les derniers problèmes que j'avais
> remarqués, ça devait être en 2004. La politique des sites a peut-être
> évolué...

Pas sûr que les gens qui ont un jour bloqué le trafic vers un port 22 l'aient
débloqué depuis…

> > L'inconvénient c'est que les commandes SSH de connexion au serveur sont plus
> > compliquées (il faut lui indiquer le numéro de port).
> 
> Pas vraiment: il suffit de se créer une config ".ssh/config".
> D'ailleurs, c'est intéressant de le faire même si on ne change
> pas de port. Par exemple:
> 
> Host home
>   HostKeyAlias le_fqdn
>   Hostname le_fqdn
>   Port le_port
>   User l_utilisateur
> 
> avec éventuellement d'autres options (StrictHostKeyChecking yes,
> ForwardX11 no, etc.). Il suffit alors d'un "ssh home", "scp home:...",
> etc.

Oui, mais en général, on en vient à ce point quand on en a marre de taper des
commandes SSH à rallonge, du moins ça a été mon cas !

> > Personnellement ça fait pas loin de dix ans que je fonctionne comme
> > ça et je suis passé d'une centaine de tentatives toutes les vingt
> > minutes à … 0 !
> 
> Idem. J'ai aussi fail2ban sur mes machines.

C'est vrai, ceinture bretelles, toussa :-)

Seb

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120511151544.gc8...@sebian.nob900.homeip.net

Re: interdire accès SSH

[andre_debian]

On Friday 11 May 2012 16:26:34 Vincent Lefevre wrote:
> On 2012-05-11 13:45:53 +0200, Sébastien NOBILI wrote:
> > Le simple fait de changer le port d'écoute du serveur SSH (directive
> > « Port » dans /etc/ssh/sshd_config) te protégera de ce genre d'attaque.
> > Ça n'empêchera pas en théorie ce genre de tentatives d'intrusions, mais
> > dans la pratique si.

J'ai changé de numéro de port,
qui a stoppé les tentatives d'intrusion.

Mais du coup je n'arrive plus à me connecter
avec Konqueror en mode SFTP : 
sftp://

Comment lui dire d'aller lire un autre port que le 22 ?

Merci.

andré

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/201205111710.26108.andre_deb...@numericable.fr

Re: interdire accès SSH

[Vincent Lefevre]

On 2012-05-11 13:45:53 +0200, Sébastien NOBILI wrote:
> Le simple fait de changer le port d'écoute du serveur SSH (directive « Port »
> dans /etc/ssh/sshd_config) te protégera de ce genre d'attaque. Ça n'empêchera
> pas en théorie ce genre de tentatives d'intrusions, mais dans la pratique si.

Mais il y a des endroits où les ports "non standard" sont filtrés.
J'avais dû ainsi utiliser le port 443 (habituellement https), libre
sur ma machine. Maintenant, les derniers problèmes que j'avais
remarqués, ça devait être en 2004. La politique des sites a peut-être
évolué...

> L'inconvénient c'est que les commandes SSH de connexion au serveur sont plus
> compliquées (il faut lui indiquer le numéro de port).

Pas vraiment: il suffit de se créer une config ".ssh/config".
D'ailleurs, c'est intéressant de le faire même si on ne change
pas de port. Par exemple:

Host home
  HostKeyAlias le_fqdn
  Hostname le_fqdn
  Port le_port
  User l_utilisateur

avec éventuellement d'autres options (StrictHostKeyChecking yes,
ForwardX11 no, etc.). Il suffit alors d'un "ssh home", "scp home:...",
etc.

> Personnellement ça fait pas loin de dix ans que je fonctionne comme
> ça et je suis passé d'une centaine de tentatives toutes les vingt
> minutes à … 0 !

Idem. J'ai aussi fail2ban sur mes machines.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120511142634.gc27...@xvii.vinc17.org

Re: interdire accès SSH

[Francois Mescam]

On 11/05/2012 11:22, admini wrote:

salut

apt-get install fail2ban


et utiliser un autre port que le port 22



--
F.Mescam

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/joj1mm$ctp$1...@dough.gmane.org

Re: interdire accès SSH

[Sébastien NOBILI]

Bonjour,

Le vendredi 11 mai 2012 à 11:18, andre_deb...@numericable.fr a écrit :
> Je reçois ce type de connexion toutes les minutes depuis plusieurs jours :
> 
> "sshd[15674]: Failed password for invalid user paige from 211.20.112.146 
>  port 42897 ssh2"
> 
> avec à chaque fois un user différent "paige" , "victoria" ...
> et un port différent "42897" , "44219" ...
> L'IP (toujours le même) "211.20.112.146" ne semble pas répertorié  : 
> TWNIC (taïwan).
> 
> Le but est d'empêcher ces connexions intempestives à la racine,
> par ce numéro IP.
> 
> Merci d'un conseil ...

Le simple fait de changer le port d'écoute du serveur SSH (directive « Port »
dans /etc/ssh/sshd_config) te protégera de ce genre d'attaque. Ça n'empêchera
pas en théorie ce genre de tentatives d'intrusions, mais dans la pratique si.

L'inconvénient c'est que les commandes SSH de connexion au serveur sont plus
compliquées (il faut lui indiquer le numéro de port).

Personnellement ça fait pas loin de dix ans que je fonctionne comme ça et je
suis passé d'une centaine de tentatives toutes les vingt minutes à … 0 !

Seb

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/2012054553.gb8...@sebian.nob900.homeip.net

Re: interdire accès SSH

[admini]

On Fri, 11 May 2012 11:28:34 +0200, "Cyril M." 
wrote:
> Le 11/05/2012 11:18, andre_deb...@numericable.fr a écrit :
>> On Friday 11 May 2012 00:53:59 xavier.limo...@xavier-office.net > wrote:
>>> Le Friday 11 May 2012 à 00:03:03 (+0200), >> andre_deb...@numericable.fr
>>> > Je désire interdire l'accès distant SSH à certains IP.
>>
>>> essaye avec
>>> /etc/hosts.allow contenant:
>>> sshd: 
>>> /etc/hosts.deny contenant:
>>> sshd: ALL
>>> /etc/hosts.allow est parcouru en premier, de la première a la >> dernière
>>> règle.Si l'ip matche une règle, ça passe sinon la dernière règle >> dans
>>> hosts.deny est appliquée
>>
>>> Sinon, tu peux utiliser mysecureshell qui permet de définir assez
>>> finement les utilisations de ssh.
>>> Benoit
>>
>> Merci pour ces tuyaux. (mysecureshell, c'est plus pour le sftp ...)
>>
>> auth.log :
>> Je reçois ce type de connexion toutes les minutes depuis plusieurs > jours :
>>
>> "sshd[15674]: Failed password for invalid user paige from > 211.20.112.146
>>  port 42897 ssh2"
>>
>> avec à chaque fois un user différent "paige" , "victoria" ...
>> et un port différent "42897" , "44219" ...
>> L'IP (toujours le même) "211.20.112.146" ne semble pas répertorié  :
>> TWNIC (taïwan).
>>
>> Le but est d'empêcher ces connexions intempestives à la racine,
>> par ce numéro IP.
>>
>> Merci d'un conseil ...
>>
>> Bonne journée.
>>
>> andré
> 
> Bonjour,
> 
> s'il s'agit uniquement de bannir des IP de machines tentant de se
> connecter à SSH en toute illégalité, le programme denyhosts pourrait
> faire l'affaire, il alimentera automatiquement /etc/hosts.

mais, l'avantage de fai2ban, c'est qu'il ne touche pas à un fichier
plat, mais aux règles de fw. disons que, c'est plus propre. dans ce
genre de cas, tu peux/dois, écrire au contact administratif qui gère le
pool IP, et l'avertir du problème avec les logs. dans 90% des cas, cela
n'aura aucun effet, car l'admin a d'autres chat à fouter. 

pour info, il s'agit d'un host linux 2.6.x, avec un serveur ssh sur 22
aussi. c'est probablement un serveur hosted. 

> 
> -- 
> Bonne journée

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/2db1120e9f02454f763c11c77f066d82@localhost

Re: interdire accès SSH

[Cyril M.]

Le 11/05/2012 11:18, andre_deb...@numericable.fr a écrit :
On Friday 11 May 2012 00:53:59 xavier.limo...@xavier-office.net 
wrote:
Le Friday 11 May 2012 à 00:03:03 (+0200), 
andre_deb...@numericable.fr

> Je désire interdire l'accès distant SSH à certains IP.



essaye avec
/etc/hosts.allow contenant:
sshd: 
/etc/hosts.deny contenant:
sshd: ALL
/etc/hosts.allow est parcouru en premier, de la première a la 
dernière
règle.Si l'ip matche une règle, ça passe sinon la dernière règle 
dans

hosts.deny est appliquée



Sinon, tu peux utiliser mysecureshell qui permet de définir assez
finement les utilisations de ssh.
Benoit


Merci pour ces tuyaux. (mysecureshell, c'est plus pour le sftp ...)

auth.log :
Je reçois ce type de connexion toutes les minutes depuis plusieurs 
jours :


"sshd[15674]: Failed password for invalid user paige from 
211.20.112.146

 port 42897 ssh2"

avec à chaque fois un user différent "paige" , "victoria" ...
et un port différent "42897" , "44219" ...
L'IP (toujours le même) "211.20.112.146" ne semble pas répertorié  :
TWNIC (taïwan).

Le but est d'empêcher ces connexions intempestives à la racine,
par ce numéro IP.

Merci d'un conseil ...

Bonne journée.

andré


Bonjour,

s'il s'agit uniquement de bannir des IP de machines tentant de se 
connecter à SSH en toute illégalité, le programme denyhosts pourrait 
faire l'affaire, il alimentera automatiquement /etc/hosts.


--
Bonne journée

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/1a2ea1601709e425e7493404aaf0b...@mirtouf.net

Re: interdire accès SSH

[admini]

salut

apt-get install fail2ban

On Fri, 11 May 2012 11:18:38 +0200, andre_deb...@numericable.fr wrote:
> On Friday 11 May 2012 00:53:59 xavier.limo...@xavier-office.net wrote:
>> Le Friday 11 May 2012 à 00:03:03 (+0200), andre_deb...@numericable.fr
>> > Je désire interdire l'accès distant SSH à certains IP.
> 
>> essaye avec
>> /etc/hosts.allow contenant:
>> sshd: 
>> /etc/hosts.deny contenant:
>> sshd: ALL
>> /etc/hosts.allow est parcouru en premier, de la première a la dernière
>> règle.Si l'ip matche une règle, ça passe sinon la dernière règle dans
>> hosts.deny est appliquée
> 
>> Sinon, tu peux utiliser mysecureshell qui permet de définir assez
>> finement les utilisations de ssh.
>> Benoit
> 
> Merci pour ces tuyaux. (mysecureshell, c'est plus pour le sftp ...)
> 
> auth.log :
> Je reçois ce type de connexion toutes les minutes depuis plusieurs jours :
> 
> "sshd[15674]: Failed password for invalid user paige from 211.20.112.146 
>  port 42897 ssh2"
> 
> avec à chaque fois un user différent "paige" , "victoria" ...
> et un port différent "42897" , "44219" ...
> L'IP (toujours le même) "211.20.112.146" ne semble pas répertorié  : 
> TWNIC (taïwan).
> 
> Le but est d'empêcher ces connexions intempestives à la racine,
> par ce numéro IP.
> 
> Merci d'un conseil ...
> 
> Bonne journée.
> 
> andré

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/069384f679ed04041659565fe3d20326@localhost

Re: interdire accès SSH

[andre_debian]

On Friday 11 May 2012 00:53:59 xavier.limo...@xavier-office.net wrote:
> Le Friday 11 May 2012 à 00:03:03 (+0200), andre_deb...@numericable.fr
> > Je désire interdire l'accès distant SSH à certains IP.

> essaye avec
> /etc/hosts.allow contenant:
> sshd: 
> /etc/hosts.deny contenant:
> sshd: ALL
> /etc/hosts.allow est parcouru en premier, de la première a la dernière
> règle.Si l'ip matche une règle, ça passe sinon la dernière règle dans
> hosts.deny est appliquée

> Sinon, tu peux utiliser mysecureshell qui permet de définir assez
> finement les utilisations de ssh.
> Benoit

Merci pour ces tuyaux. (mysecureshell, c'est plus pour le sftp ...)

auth.log :
Je reçois ce type de connexion toutes les minutes depuis plusieurs jours :

"sshd[15674]: Failed password for invalid user paige from 211.20.112.146 
 port 42897 ssh2"

avec à chaque fois un user différent "paige" , "victoria" ...
et un port différent "42897" , "44219" ...
L'IP (toujours le même) "211.20.112.146" ne semble pas répertorié  : 
TWNIC (taïwan).

Le but est d'empêcher ces connexions intempestives à la racine,
par ce numéro IP.

Merci d'un conseil ...

Bonne journée.

andré

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120518.38087.andre_deb...@numericable.fr

Re: interdire accès SSH

[szczygiel benoit]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Le 11/05/2012 00:53, xavier.limo...@xavier-office.net a écrit :
> Le Friday 11 May 2012 à 00:03:03 (+0200), andre_deb...@numericable.fr a écrit 
> :
>> Bonsoir,
>>
>> Je désire interdire l'accès distant SSH à certains IP.
>>
>> J'ai utilisé :
>>
>> "hosts.allow" :
>> sshd: ALL
>>
>> "hosts.deny" :
>> sshd: 
>>
>> "sshd_config" :
>> AllowUsers *
>> DenyUsers 
>>
>> Mais rien n'y fait, soit aucun accès à tout le monde
>> ou accès à tout le monde.
>>
>> Merci d'une aide.
>>
>> andré
>>
>>
> Bonsoir,
> 
> essaye avec
> 
> /etc/hosts.allow contenant:
> sshd: 
> /etc/hosts.deny contenant:
> sshd: ALL
> 
> /etc/hosts.allow est parcouru en premier, de la première a la dernière
> règle.Si l'ip matche une règle, ça passe sinon la dernière règle dans 
> hosts.deny est appliquée
> 
> 
> --
> All mail clients suck. This one just sucks less.
> 

Sinon, tu peux utiliser mysecureshell qui permet de définir assez
finement les utilisations de ssh.
Benoit
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJPrKrxAAoJEDd5vycqAnvD+pgH+wfYE5S51dKTBBLL3KebJfvE
xM0L6UXNR93tQNXSbQFph4MglDoQrgPOmWzk/SbNb5A2yqLI1a2VeBqXxOo69AbD
ASEiDhm1fDZGyjWhxFFZk5TyC77lPQZr2mDu1Q/r+ovS+QG4wFrI4O2FJ/jb8gM6
QJbR1zAK/cbMIgJ6yblQAY6CPvue5ygIF8bMF4B8bheFShsVWf6Ck251B6XUfor4
aVeg0HsiISSPOoOPYCzUDpH9X2S8iV8V6gj4GWXp8V6osfVwMjA7z3UAj5RnMkYQ
3j4+hEHbmmHHJxp/UpUAShdBkwjwZHsub0pImbjQDHfxLNvKqKxcFt5S7xuKAmk=
=FLFQ
-END PGP SIGNATURE-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/4facaaf2.6090...@z-elec.com

Re: interdire accès SSH

[xavier.limo...@xavier-office.net]

Le Friday 11 May 2012 à 00:03:03 (+0200), andre_deb...@numericable.fr a écrit :
> Bonsoir,
> 
> Je désire interdire l'accès distant SSH à certains IP.
> 
> J'ai utilisé :
> 
> "hosts.allow" :
> sshd: ALL
> 
> "hosts.deny" :
> sshd: 
> 
> "sshd_config" :
> AllowUsers *
> DenyUsers 
> 
> Mais rien n'y fait, soit aucun accès à tout le monde
> ou accès à tout le monde.
> 
> Merci d'une aide.
> 
> andré
> 
> 
Bonsoir,

essaye avec

/etc/hosts.allow contenant:
sshd: 
/etc/hosts.deny contenant:
sshd: ALL

/etc/hosts.allow est parcouru en premier, de la première a la dernière
règle.Si l'ip matche une règle, ça passe sinon la dernière règle dans 
hosts.deny est appliquée


--
All mail clients suck. This one just sucks less.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20120510225358.ga13...@xavier-office.net

interdire accès SSH

[andre_debian]

Bonsoir,

Je désire interdire l'accès distant SSH à certains IP.

J'ai utilisé :

"hosts.allow" :
sshd: ALL

"hosts.deny" :
sshd: 

"sshd_config" :
AllowUsers *
DenyUsers 

Mais rien n'y fait, soit aucun accès à tout le monde
ou accès à tout le monde.

Merci d'une aide.

andré

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/201205110003.03915.andre_deb...@numericable.fr

Re: accès ssh

[Pascal Hambourg]

Pascal Hambourg a écrit :


ou si carrément l'authentification par SSH est désactivée

 ^^^
Oups. Je voulais dire "par mot de passe", évidemment.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et

"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: accès ssh

[Pascal Hambourg]

Vincent Lefevre a écrit :


Oui, comme le port knocking ça permet au moins d'éviter les scans de 
ports et une grande partie des attaques automatisées.


et fail2ban (que j'avais cité), qui permet de bannir une machine
(i.e. qui se retrouve filtrée via iptables pendant un certain
temps configurable) après un certain nombre (configurable) de
connexions infructueuses. Donc sauf à avoir un mot de passe
trivial, il est quasiment impossible de le trouver.


Je ne veux pas dénigrer fail2ban, mais pour moi son intérêt se limite à 
alléger les logs du démon SSH, parce que 1 lignes de tentatives de 
connexion par jour, ça encombre. Si les mots de passe sont suffisamment 
forts, ou si carrément l'authentification par SSH est désactivée, les 
attaques robotisées par force brute et dictionnaire n'ont aucune chance 
de réussir. Il ne reste donc que l'exploitation d'une faille de sécurité 
du démon SSH contre laquelle fail2ban ne protègera pas, contrairement au 
DNS dynamique, port knocking et assimilés.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et

"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: accès ssh

[Vincent Lefevre]

On 2006-10-04 10:28:54 +0200, Pascal Hambourg wrote:
> >La possibilité host + dyndns + iptables n'est pas mal non plus.
> 
> Oui, comme le port knocking ça permet au moins d'éviter les scans de 
> ports et une grande partie des attaques automatisées.

et fail2ban (que j'avais cité), qui permet de bannir une machine
(i.e. qui se retrouve filtrée via iptables pendant un certain
temps configurable) après un certain nombre (configurable) de
connexions infructueuses. Donc sauf à avoir un mot de passe
trivial, il est quasiment impossible de le trouver.

-- 
Vincent Lefèvre <[EMAIL PROTECTED]> - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

RE : Re: accès ssh

[Jay Ar]

En tout cas, l'accès en SSH avec le compte root doit être interdit.Je ne connaissais pas le port knocking.. ça me parait intéressant, merci pour l'info à la personne qui l'a donnée.Jean-Michel OLTRA <[EMAIL PROTECTED]> a écrit : Bonjour,Le mardi 03 octobre 2006, Pascal Hambourg a écrit...> Euh, SSH n'a pas déjà assez de moyens d'authentification (mot de passe, > passphrase, certificat...) pour se passer de ce genre de mesure ? Il > craint quoi l'admin, des failles dans SSH ?Je suppose qu'il craint qu'un script trouve un mot de passe sur uncompte qui possède un accès ssh. Le compte root certainement.> Qui permettrait quoi exactement ? De faire du "port knocking" ?> Ça ne ferait que déplacer le problème, et pour que ce soit justifié
 il > faudrait que le mécanisme d'authentification du port knocking soit au > moins aussi solide que celui de SSH.Un truc comme ça. A partir de la possibilité donnée par yoann (envoi demail + ip + timeout sur iptables) à laquelle j'avais pensé (mais jen'avais pas envisagé le chiffrement). Le seul truc c'est que si çan'existe pas, il faut le coder.La possibilité host + dyndns + iptables n'est pas mal non plus.merci de toutes ces idées.-- jmA.E.L. Sarl (R.C.S CASTRES 490843240)http://www.affaires-en-ligne.com-- Lisez la FAQ de la liste avant de poser une question :http://wiki.debian.net/?DebianFrench   Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et"Reply-To:"To UNSUBSCRIBE, email to [EMAIL PROTECTED]with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] 
		 
Découvrez un nouveau moyen de poser toutes vos questions quel que soit le sujet ! 
Yahoo! Questions/Réponses pour partager vos connaissances, vos opinions et vos expériences. Cliquez ici. 

Re: accès ssh

[Pascal Hambourg]

Jean-Michel OLTRA a écrit :


Euh, SSH n'a pas déjà assez de moyens d'authentification (mot de passe, 
passphrase, certificat...) pour se passer de ce genre de mesure ? Il 
craint quoi l'admin, des failles dans SSH ?


Je suppose qu'il craint qu'un script trouve un mot de passe sur un
compte qui possède un accès ssh. Le compte root certainement.


C'est pour ça que j'ai mentionné d'autres méthodes d'authentification 
que le mot de passe. Quand bien même, avec des mots de passe forts et 
pas du style "toto" ou "admin", on ne risque pas grand chose des 
attaques par dictionnaire ou force brute. Et on peut désactiver le login 
root par SSH.


Quant au failles de SSH, il y en a eu, et il y en aura encore. Mais 
combien d'exploits en 0-day ? Les mises à jour de sécurité sont là pour ça.



Qui permettrait quoi exactement ? De faire du "port knocking" ?



Un truc comme ça. A partir de la possibilité donnée par yoann (envoi de
mail + ip + timeout sur iptables) à laquelle j'avais pensé (mais je
n'avais pas envisagé le chiffrement). Le seul truc c'est que si ça
n'existe pas, il faut le coder.


Il y a bien le paquetage knockd, mais il ne fait pas d'authentification, 
et est vulnérable au rejeu, sauf à utiliser des séquences à usage unique 
(mais j'ai peur que ça ne se prête pas bien à un usage par plusieurs 
utilisateurs).



La possibilité host + dyndns + iptables n'est pas mal non plus.


Oui, comme le port knocking ça permet au moins d'éviter les scans de 
ports et une grande partie des attaques automatisées.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et

"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: accès ssh

[Vincent Lefevre]

On 2006-10-03 23:13:46 +0200, François Boisson wrote:
> Le mieux est encore de faire écouter ssh sur un autre port si il est
> vraiment anxieux, ça lui évitera les petits malins.

Et/ou utiliser fail2ban.

-- 
Vincent Lefèvre <[EMAIL PROTECTED]> - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: accès ssh

[Jean-Michel OLTRA]

Bonjour,


Le mardi 03 octobre 2006, Pascal Hambourg a écrit...


> Euh, SSH n'a pas déjà assez de moyens d'authentification (mot de passe, 
> passphrase, certificat...) pour se passer de ce genre de mesure ? Il 
> craint quoi l'admin, des failles dans SSH ?

Je suppose qu'il craint qu'un script trouve un mot de passe sur un
compte qui possède un accès ssh. Le compte root certainement.

> Qui permettrait quoi exactement ? De faire du "port knocking" ?
> Ça ne ferait que déplacer le problème, et pour que ce soit justifié il 
> faudrait que le mécanisme d'authentification du port knocking soit au 
> moins aussi solide que celui de SSH.

Un truc comme ça. A partir de la possibilité donnée par yoann (envoi de
mail + ip + timeout sur iptables) à laquelle j'avais pensé (mais je
n'avais pas envisagé le chiffrement). Le seul truc c'est que si ça
n'existe pas, il faut le coder.

La possibilité host + dyndns + iptables n'est pas mal non plus.

merci de toutes ces idées.

-- 
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.affaires-en-ligne.com


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: accès ssh

[Yves Rutschle]

On Tue, Oct 03, 2006 at 10:57:47PM +0200, Pascal Hambourg
wrote:
> Il craint quoi l'admin, des failles dans SSH ?

Ça s'est déjà vu, au moins sur ssh1, avec accès root à la
clé. Rechercher 'ssh exploit' sur Google...

Seul les paranoïaques survivront!

Y. --  qui utilise telnet sur l'internet


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: accès ssh

[Jerome Moinet]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

> J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits
> farfelus du net, l'admin de ce serveur a restreint l'accès au service
> ssh sur ses ip perso ou de confiance via iptables. Je n'ai pas d'ip
> fixe. Y a t-il un moyen, un soft qui permettrait ça ?
> 
tu prend un dyndns quelconque, l'admin fait un cron toutes les minutes
avec dedans un `host ton_dyndns | sur le grep qui va bien` et un ajout
de l'ip résultante dans les règles iptables (avec suppression de
l'ancienne ip).

Donc :
1) bloquer complètement l'accès ssh dans iptables (déjà fait visiblement)
2) faire un fichier de conf avec les ip et dydns autorisées
(/etc/ssh/ip.allowed par exemple)
3) faire un cron qui génère un fichier dans /var/cache/ssh avec les ips
fixes venant du fic de conf + les ip résultantes d'un host des dydns
4) si il y a un diff avec le fichier .old sauvegardé dans
/var/cache/ssh, vider iptables et remplacer par les ips du fichier
résultant du cron (avec rotation du fichier vers le .old).

Sur le "pourquoi bloquer l'accès ssh ?", ça doit être juste de la
parano. Et puis il y a eu par le passé quelques trous dans ssh. Et puis
ssh n'est pas un soft qui s'adresse à tout internet (à la différence de
apache, par exemple, ou pop, ou smtp), alors pourquoi l'autoriser à tout
le monde ?

cdlt,

jerome
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.5 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFItdh3ygQTLujCrQRArrZAJ4wh5VvoqHTRO/07Xm9MdMutvFjaACfWAFJ
ltBWHwrSf9S/n1wM4EQz5Gc=
=JC+R
-END PGP SIGNATURE-


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: accès ssh

[yoann]

> Salut,

Bonsoir

>> J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits
>> farfelus du net, l'admin de ce serveur a restreint l'accès au service
>> ssh sur ses ip perso ou de confiance via iptables.
> 
> Euh, SSH n'a pas déjà assez de moyens d'authentification (mot de passe,
> passphrase, certificat...) pour se passer de ce genre de mesure ? Il
> craint quoi l'admin, des failles dans SSH ?

je suis assez d'accord la dessus

>> Je n'ai pas d'ip fixe. Y a t-il un moyen, un soft qui permettrait ça ?
> 
> Qui permettrait quoi exactement ? De faire du "port knocking" ?
> Ça ne ferait que déplacer le problème, et pour que ce soit justifié il
> faudrait que le mécanisme d'authentification du port knocking soit au
> moins aussi solide que celui de SSH.

néanmoins, pour les vraiment paranoïaque, je m'étais amusé à réfléchir à ce
genre de chose, même si j'ai jamais eu le courage/temps de le faire voilà un peu
le déroulement

mail sujet spécifique et l'ip dans le corp
-> signature gpg
-> chiffrement gpg
-> filtre sur [subject|from|rcpt to] avec procmail
-> déchiffrement gpg
-> vérification signature
-> sudo iftables qui autorise l'adresse

après on peut imaginer des choses avec tempo, timeout, etc

à mon avis c'est réalisable mais un peu complexe alors que ssh offre quand même
un niveau de sécurité très bon

Yoann


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: accès ssh

[François Boisson]

Le Tue, 3 Oct 2006 21:58:30 +0200
Jean-Michel OLTRA <[EMAIL PROTECTED]> a écrit:

> 
> Bonjour,
> 
> 
> Question peut-être sans réponse, mais qui ne tente rien n'a rien...
> 
> J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits
> farfelus du net, l'admin de ce serveur a restreint l'accès au service
> ssh sur ses ip perso ou de confiance via iptables. Je n'ai pas d'ip
> fixe. Y a t-il un moyen, un soft qui permettrait ça ?

Il peut demander une authentification par clef non? Sinon, il ne fait
que reporter le problème sur la machine où tu accèdes en ssh de
n'importe où...

Le mieux est encore de faire écouter ssh sur un autre port si il est
vraiment anxieux, ça lui évitera les petits malins.

François Boisson


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: accès ssh

[Pascal Hambourg]

Salut,

Jean-Michel OLTRA a écrit :


J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits
farfelus du net, l'admin de ce serveur a restreint l'accès au service
ssh sur ses ip perso ou de confiance via iptables.


Euh, SSH n'a pas déjà assez de moyens d'authentification (mot de passe, 
passphrase, certificat...) pour se passer de ce genre de mesure ? Il 
craint quoi l'admin, des failles dans SSH ?



Je n'ai pas d'ip fixe. Y a t-il un moyen, un soft qui permettrait ça ?


Qui permettrait quoi exactement ? De faire du "port knocking" ?
Ça ne ferait que déplacer le problème, et pour que ce soit justifié il 
faudrait que le mécanisme d'authentification du port knocking soit au 
moins aussi solide que celui de SSH.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et

"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: accès ssh

[yoann]

Jean-Michel OLTRA wrote:
> Bonjour,
> Question peut-être sans réponse, mais qui ne tente rien n'a rien...
> 
> J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits
> farfelus du net, l'admin de ce serveur a restreint l'accès au service
> ssh sur ses ip perso ou de confiance via iptables. Je n'ai pas d'ip
> fixe. Y a t-il un moyen, un soft qui permettrait ça ?
> 
> On a résolu le problème en me faisant sauter sur une autre machine, puis
> en réalisant l'accès ssh sur le serveur.

envoyé un mail au serveur en question avec une adresse et/ou un sujet spécifique
et une petite règle dans le .procmail qui autorise l'ip en question (en
paramètre dans le sujet/corp) devrait pouvoir faire l'affaire (p'tre nécessitera
sudo)

jamais testé mais c'est peut être une idée à tester

Yoann


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

accès ssh

[Jean-Michel OLTRA]

Bonjour,


Question peut-être sans réponse, mais qui ne tente rien n'a rien...

J'ai besoin d'un accès ssh sur un serveur. Mais vu l'audace de petits
farfelus du net, l'admin de ce serveur a restreint l'accès au service
ssh sur ses ip perso ou de confiance via iptables. Je n'ai pas d'ip
fixe. Y a t-il un moyen, un soft qui permettrait ça ?

On a résolu le problème en me faisant sauter sur une autre machine, puis
en réalisant l'accès ssh sur le serveur.


-- 
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.affaires-en-ligne.com


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: [iptables] COnfigurer pour un accès SSh depuis l'extérieur

[Claude Reveret]

Le Lundi 12 Juin 2006 00:57, Technicien a écrit :
> Bonjour,
salut
> Je suis sous debian sarge 3.1 j'ai un routeur et deux machines en LAN
> La machine avec SSH est firewallée avec iptables à l'adresse privée
> 192.168.0.XXX
> Quelles règles je dois appliquer à iptables pour permettre l'accès aux
> clients externes ?
ouvrir le port 22, port par défaut de ssh.
-- 
@+, Claude

Re: [iptables] COnfigurer pour un accès SSh depuis l'extérieur

[Pascal Hambourg]

Salut,

David Prévot a écrit :

Technicien a écrit :

Je suis sous debian sarge 3.1 j'ai un routeur et deux machines en LAN
La machine avec SSH est firewallée avec iptables à l'adresse privée
192.168.0.XXX
Quelles règles je dois appliquer à iptables pour permettre l'accès aux
clients externes ?


Ça dépend des jeux de règles en place sur la passerelle et le serveur.


J'imagine que tu veux une redirection sur ta passerelle

iptables -t nat -A PREROUTING -i lenomdetoninterfaceextérieur -p tcp
- --dport 22 -j DNAT --to-destination 192.168.0.xxx:22

et aussi accepter les connections sur ton serveur ssh ?

iptables -A INPUT -p tcp --dport 22 -j ACCEPT


Règle à créer sur le serveur lui-même si filtrage plus restrictif.
De même si nécessaire, ne pas oublier la même chose dans la chaîne 
FORWARD de la passerelle :


iptables -A FORWARD -i  -o  \
  -d 192.168.0.XXX -p tcp --dport 22 -j ACCEPT

Sans oublier si nécessaire les règles pour accepter le trafic sortant en 
réponse.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et

"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: [iptables] COnfigurer pour un accès SSh depuis l'extérieur

[David Prévot]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Technicien a écrit :
> Bonjour,
> Je suis sous debian sarge 3.1 j'ai un routeur et deux machines en LAN
> La machine avec SSH est firewallée avec iptables à l'adresse privée
> 192.168.0.XXX
> Quelles règles je dois appliquer à iptables pour permettre l'accès aux
> clients externes ?

J'imagine que tu veux une redirection sur ta passerelle

iptables -t nat -A PREROUTING -i lenomdetoninterfaceextérieur -p tcp
- --dport 22 -j DNAT --to-destination 192.168.0.xxx:22

et aussi accepter les connections sur ton serveur ssh ?

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

http://www.via.ecp.fr/~alexis/formation-linux/ pour de plus amples
commentaires

David
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.3 (GNU/Linux)

iD8DBQFEjKeq18/WetbTC/oRAnO1AJ4mR/6xRMxkpprkG26oSJwAv4OW6gCeI+61
KswrZyE9NCCCfUF1Vrm5NaQ=
=xy/n
-END PGP SIGNATURE-


-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

[iptables] COnfigurer pour un accès SSh depuis l'e xtérieur

[Technicien]

Bonjour,
Je suis sous debian sarge 3.1 j'ai un routeur et deux machines en LAN
La machine avec SSH est firewallée avec iptables à l'adresse privée
192.168.0.XXX
Quelles règles je dois appliquer à iptables pour permettre l'accès aux
clients externes ?

Re: Accès ssh pas assez long.

[Philippe AMIOT]

Vincent Lefevre a écrit :


On 2005-08-17 10:22:19 +0400, Philippe AMIOT wrote:
 


je profite d'un thread sur SSH pour poser demander si qqu'un sait
comment augmenter le temps de reponse d'un serveur ssh lorsqu'on lui
demande une connexion et lors de la validation du mdp ?
   



Peut-être LoginGraceTime. Tu as toutes les options du serveur dans
la page man sshd_config(5)... et les options du client dans la page
man ssh_config(5).

 


RTFM, forcément 

phil

Re: Accès ssh pas assez long.

[Vincent Lefevre]

On 2005-08-17 10:22:19 +0400, Philippe AMIOT wrote:
> je profite d'un thread sur SSH pour poser demander si qqu'un sait
> comment augmenter le temps de reponse d'un serveur ssh lorsqu'on lui
> demande une connexion et lors de la validation du mdp ?

Peut-être LoginGraceTime. Tu as toutes les options du serveur dans
la page man sshd_config(5)... et les options du client dans la page
man ssh_config(5).

-- 
Vincent Lefèvre <[EMAIL PROTECTED]> - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / SPACES project at LORIA


-- 
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Accès ssh pas assez long.

[Philippe AMIOT]

Bonjour la liste,

je profite d'un thread sur SSH pour poser demander si qqu'un sait 
comment augmenter le temps de reponse d'un serveur ssh lorsqu'on lui 
demande une connexion et lors de la validation du mdp ?


bonne journée

Philippe

Re: Accès ssh très long.

[Vincent Lefevre]

On 2005-08-16 16:10:21 +0200, k3rn wrote:
> >Et même problème avec un "ssh -vvv localhost".
[...]
> Aucun soucis dans ce sens...
> 
> Ceci dis, je pense qu'effectivement, celà vient d'un soucis de
> dns... En effet, un "route" sur mon serveur met une quinzaine de
> secondes pour s'afficher...

OK, il vaut mieux corriger, mais en attendant, tu as toujours cette
option du serveur que tu peux mettre à "no":

  UseDNS  Specifies whether sshd should look up the remote host name and
  check that the resolved host name for the remote IP address maps
  back to the very same IP address.  The default is ``yes''.

Cf la page man sshd_config(5).

-- 
Vincent Lefèvre <[EMAIL PROTECTED]> - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / SPACES project at LORIA


-- 
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Accès ssh trè s long.

[Philippe Marzouk]

On Tue, Aug 16, 2005 at 03:39:41PM +0200, Vincent Lefevre wrote:
> On 2005-08-16 15:31:48 +0200, Vincent Lefevre wrote:
> > On 2005-08-16 12:05:52 +0200, k3rn wrote:
> > > Manifestement, je perd beaucoup de temps, entre cette ligne :
> > > 
> > >-> debug1: SSH2_MSG_KEXINIT sent
> > > et celle ci :
> > >   -> debug1: SSH2_MSG_KEXINIT received
> > 
> > Pour info, j'ai le même problème avec le sshd (OpenSSH_3.8.1p1)
> > de Mac OS X (Tiger): 10 secondes de délai entre ces deux messages.
> > Sur cette machine, j'ai installé une nouvelle version de sshd
> > (OpenSSH_4.1p1), et je n'ai plus aucun problème. Les deux fichiers
> > de config sshd_config sont quasiment les mêmes (la plus grosse
> > différence, c'est le numéro du port).
> 
> Et même problème avec un "ssh -vvv localhost".
> 
> Tu devrais essayer ça sur ta machine. Si c'est aussi lent, ça ne
> devrait pas être un problème de DNS, mais un problème au niveau
> de sshd ou ailleurs dans la config système (voir les messages de
> débugging du serveur s'il fait des requêtes je ne sais où).
> 

Je constate une lenteur de mon côté mais uniquement en ipv6 c'est-à-dire
que si je mets le flag -4 à ssh, l'accès est instantané.

Philippe


-- 
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Accès ssh très long.

[rom1]

Qu'est-ce qui est paramétré dans ton /etc/resolv.conf ?
Qu'indique la commande :
> host 
quand tu l'exécute sur ton serveur ?

Le serveur ssh fait une résolution IP-->FQDN, et non FQDN-->IP,
l'entrée que tu as mis dans ton /etc/hosts ne sert donc pas pour la
résolution "inverse" faite par le serveur ssh.
Romain.

Re: Accès ssh très long.

[k3rn]

Et même problème avec un "ssh -vvv localhost".

Tu devrais essayer ça sur ta machine. Si c'est aussi lent, ça ne
devrait pas être un problème de DNS, mais un problème au niveau
de sshd ou ailleurs dans la config système (voir les messages de
débugging du serveur s'il fait des requêtes je ne sais où).

  


Aucun soucis dans ce sens...

Ceci dis, je pense qu'effectivement, celà vient d'un soucis de dns...
En effet, un "route" sur mon serveur met une quinzaine de secondes pour 
s'afficher...


J'm'en vais chercher de ce côté là...

Merci à tous pour vos réponses !!!


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Accès ssh très long.

[Vincent Lefevre]

On 2005-08-16 15:31:48 +0200, Vincent Lefevre wrote:
> On 2005-08-16 12:05:52 +0200, k3rn wrote:
> > Manifestement, je perd beaucoup de temps, entre cette ligne :
> > 
> >-> debug1: SSH2_MSG_KEXINIT sent
> > et celle ci :
> >   -> debug1: SSH2_MSG_KEXINIT received
> 
> Pour info, j'ai le même problème avec le sshd (OpenSSH_3.8.1p1)
> de Mac OS X (Tiger): 10 secondes de délai entre ces deux messages.
> Sur cette machine, j'ai installé une nouvelle version de sshd
> (OpenSSH_4.1p1), et je n'ai plus aucun problème. Les deux fichiers
> de config sshd_config sont quasiment les mêmes (la plus grosse
> différence, c'est le numéro du port).

Et même problème avec un "ssh -vvv localhost".

Tu devrais essayer ça sur ta machine. Si c'est aussi lent, ça ne
devrait pas être un problème de DNS, mais un problème au niveau
de sshd ou ailleurs dans la config système (voir les messages de
débugging du serveur s'il fait des requêtes je ne sais où).

-- 
Vincent Lefèvre <[EMAIL PROTECTED]> - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / SPACES project at LORIA


-- 
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Accès ssh très long.

[Vincent Lefevre]

On 2005-08-16 12:05:52 +0200, k3rn wrote:
> Manifestement, je perd beaucoup de temps, entre cette ligne :
> 
>-> debug1: SSH2_MSG_KEXINIT sent
> et celle ci :
>   -> debug1: SSH2_MSG_KEXINIT received

Pour info, j'ai le même problème avec le sshd (OpenSSH_3.8.1p1)
de Mac OS X (Tiger): 10 secondes de délai entre ces deux messages.
Sur cette machine, j'ai installé une nouvelle version de sshd
(OpenSSH_4.1p1), et je n'ai plus aucun problème. Les deux fichiers
de config sshd_config sont quasiment les mêmes (la plus grosse
différence, c'est le numéro du port).

-- 
Vincent Lefèvre <[EMAIL PROTECTED]> - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / SPACES project at LORIA


-- 
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Accès ssh très long.

[Vincent Lefevre]

On 2005-08-16 11:49:16 +0200, k3rn wrote:
> ras2 est indiqué dans mon /etc/hosts, et de toute façon, le symptôme 
> reste le même si je tappe l'ip, et pas le host...

Le serveur n'obtient de toute façon que l'adresse IP. Et la résolution
DNS inverse se fait à partir de l'IP.

-- 
Vincent Lefèvre <[EMAIL PROTECTED]> - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / SPACES project at LORIA


-- 
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Accès ssh très long.

[k3rn]

Et côté serveur, tu as quelque chose de plus parlant ? (pour cela,
arrêter le serveur standard et le lancer ainsi : "sshd -d -d -d")
  

Euh, je tente de faire ça cet après midi...

Sinon, tu n'as pas indiqué quelles versions tu utilises ?
  

Côté client :
Source: openssh
Version: 1:3.9p1

Côté serveur :
sshd version OpenSSH_3.4p1

As-tu des options particulières dans tes fichiers de config
(/etc/ssh/sshd_config sur le serveur et /etc/ssh/ssh_config et
~/.ssh/config sur le client) ?
  

Aucune...
Et aucun soucis vers la machine ras1.
Uniquement vers ras2.

Les machines sont identiques. (même OS, même version).

C'est mystique !

Fred

  



--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Accès ssh trè s long.

[Frédéric Bothamy]

* k3rn <[EMAIL PROTECTED]> [2005-08-16 12:05] :
> 
> >
> >"ssh -vvv ras1" devrait fournir plus d'informations sur le problème.
> >  
> Manifestement, je perd beaucoup de temps, entre cette ligne :
> 
>-> debug1: SSH2_MSG_KEXINIT sent
> et celle ci :
>   -> debug1: SSH2_MSG_KEXINIT received
> 
> 
> Je perd aussi du temps ici entre :
> 
>   -> debug2: key: /home/florian/.ssh/id_dsa ((nil))
> et
>   -> debug1: Authentications that can continue: 
> external-keyx,gssapi,publickey,password

Et côté serveur, tu as quelque chose de plus parlant ? (pour cela,
arrêter le serveur standard et le lancer ainsi : "sshd -d -d -d")

Sinon, tu n'as pas indiqué quelles versions tu utilises ?

As-tu des options particulières dans tes fichiers de config
(/etc/ssh/sshd_config sur le serveur et /etc/ssh/ssh_config et
~/.ssh/config sur le client) ?


Fred

-- 
Comment poser les questions de manière intelligente ?
http://www.gnurou.org/documents/smart-questions-fr.html
Comment signaler efficacement un bug ?
http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html


-- 
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Accès ssh très long.

[rom1]

Ton serveur ssh cherche à faire une résolution DNS "reverse"
(corespondance IP-->FQDN)  de l'IP du poste client avec lequel tu te
connecte à chaque connexion, et il est probable que le serveur DNS
paramétré dans le resolv.conf de ton serveur SSH soit (temporairement
?) inacessibe, et donc la résolution DNS échoue, mais après un
time-out (de 25/30 secondes) ...

Re: Accès ssh très long.

[k3rn]

"ssh -vvv ras1" devrait fournir plus d'informations sur le problème.
  

Manifestement, je perd beaucoup de temps, entre cette ligne :

   -> debug1: SSH2_MSG_KEXINIT sent
et celle ci :
  -> debug1: SSH2_MSG_KEXINIT received


Je perd aussi du temps ici entre :

  -> debug2: key: /home/florian/.ssh/id_dsa ((nil))
et
  -> debug1: Authentications that can continue: 
external-keyx,gssapi,publickey,password



--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Accès ssh très long.

[k3rn]

[EMAIL PROTECTED] wrote:
A mon avis il s'agit d'un problème de résolution de nom, vérifie ton 
/etc/hosts et si configuration de résolution DNS.


Cristophe.


Non non...

ras2 est indiqué dans mon /etc/hosts, et de toute façon, le symptôme 
reste le même si je tappe l'ip, et pas le host...



--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Accès ssh trè s long.

[Frédéric Bothamy]

* k3rn <[EMAIL PROTECTED]> [2005-08-16 11:25] :
> Bonjour la liste.
> 
> J'ai un serveur, auquel je me connect via ssh.
> Je passe les caractéristiques du serveur, et je met le doigt sur la ram 
> et swap libre :
> 
> 50% de ram libre (sur 1 giga), et pas de swap utilisée.
> 
> Ce serveur sert de slave pour de la réplication mysql.
> 
> Ceci dis, lorsque je tente de me connecter via ssh à ce dernier, je dois 
> patienter 25 à 30 secondes avant d'avoir le prompt mot de passe.
> 
> Résultat de ping :
> 
> --- ras1 ping statistics ---
> 6 packets transmitted, 6 received, 0% packet loss, time 5006ms
> rtt min/avg/max/mdev = 0.591/0.653/0.742/0.056 ms
> 
> Et j'y accède en 1 saut...
> 
> Quelqu'un a-t-il une idée ?

"ssh -vvv ras1" devrait fournir plus d'informations sur le problème.
Quelle version de ssh utilises-tu ? (serveur et client)


Fred

-- 
Comment poser les questions de manière intelligente ?
http://www.gnurou.org/documents/smart-questions-fr.html
Comment signaler efficacement un bug ?
http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html


-- 
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Accès ssh très long.

[[EMAIL PROTECTED]]

A mon avis il s'agit d'un problème de résolution de nom, vérifie ton 
/etc/hosts et si configuration de résolution DNS.


Cristophe.



k3rn a écrit :

Bonjour la liste.

J'ai un serveur, auquel je me connect via ssh.
Je passe les caractéristiques du serveur, et je met le doigt sur la ram 
et swap libre :


50% de ram libre (sur 1 giga), et pas de swap utilisée.

Ce serveur sert de slave pour de la réplication mysql.

Ceci dis, lorsque je tente de me connecter via ssh à ce dernier, je dois 
patienter 25 à 30 secondes avant d'avoir le prompt mot de passe.


Résultat de ping :

--- ras1 ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 5006ms
rtt min/avg/max/mdev = 0.591/0.653/0.742/0.056 ms

Et j'y accède en 1 saut...

Quelqu'un a-t-il une idée ?

Merci !





--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Accès ssh très long.

[k3rn]

Bonjour la liste.

J'ai un serveur, auquel je me connect via ssh.
Je passe les caractéristiques du serveur, et je met le doigt sur la ram 
et swap libre :


50% de ram libre (sur 1 giga), et pas de swap utilisée.

Ce serveur sert de slave pour de la réplication mysql.

Ceci dis, lorsque je tente de me connecter via ssh à ce dernier, je dois 
patienter 25 à 30 secondes avant d'avoir le prompt mot de passe.


Résultat de ping :

--- ras1 ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 5006ms
rtt min/avg/max/mdev = 0.591/0.653/0.742/0.056 ms

Et j'y accède en 1 saut...

Quelqu'un a-t-il une idée ?

Merci !


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]