[Linux-bruxelles] port remapping

Aldo info at brlspeak.net
Sam 6 Mar 14:03:41 CET 2010


Yo Manu, 

ptites questions supp:

On Fri, Feb 26, 2010 at 11:19:31PM +0100, Manuel Schulte wrote:
> a/ pas de login ROOT en SSH!!!

Euh c'est également dans sshd_config ? si oui, c alors assurément la ligne:
PermitRootLogin yes
qu'il vaut mieux mettre en PermitRootLogin no

> b/ Limiter le nombre de tentatives d'accès, imposer un temps d'attente de
> min. 30 secondes entre 2 tentatives infructueuses et tout bloquer après 3
> tentatives infructueuses. (accessoirement utiliser un "banner" à afficher
> lors d'un login réussi / utile uniquement pour un SSH que tu ne serais pas
> le seul à utiliser... pour avertir les utilisateurs de conséquences en cas
> d'utilisation frauduleuse de la connection...)

J'ai mis fail2ban, ai juste modifié jail.local pour réduire le total des
tentatives de 6 à 3,
et bannir pendant plus longtemps que les 600 secondes proposées.

> c/ (mais cela tu t'apprêtes à le faire) ne pas utiliser un port standard 
>(et
> de préférence > 1024)... ceci dit, avec réserves car avec Nmap un bon hacker
> peut savoir quels sont les ports ouverts sur ton routeur et aussi ce qui
> "écoute" derrière... d'où l'importance des points a et b.

Comme ça n'allait pas pour fixer ce problème dans mon modem/routeur, j'ai
remis le port standard, qui chez mon FAI n'est pas bloqué; mais j'ai
augmenté la sécu en suivant vos autres conseils, en espérant que ça soit
effectif... 

> Cerise sur le gâteau: pas d'autentification par mot de passe, mais
> uniquement par clef...

C fait.
 
> > (en passant, es-ce aussi appelé NAT dans certains modem/routeurs ?)
> >
> 
> Non, pas la même chose... NAT  = Network Address Translation
> En gros, le mécanisme utilisé par un Firewall pour faire en sorte qu'un PC
> qui "visible" de l'extérieur sur l'adresse 81.48.192.48 réponde à
> l'intérieur à l'adresse 192.168.252.3 (par exemple dans les 2 cas...)
> Dans la plupart des cas, l'adresse 81.48.192.48 est en réalité l'adresse
> publique du routeur/firewall, tandis que l'autre est celle de son adresse
> privée...

Dans notre Belkin y a pas de PAT ou PortMapping, mais uniquement les noms
Firewall, Virtual SErver, DMZ et NAT.

Aldo. 




Plus d'informations sur la liste de diffusion Linux-bruxelles