Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 02-11-2017 11:33:39

Philou
Membre
Inscription : 03-09-2017

Restreindre la connexion ssh aux IP locales.

Bonjour,

J'aimerais savoir si on peut limiter l'accès ssh uniquement aux IP locales. En effet je n'accède à mes PC qu'à la maison.

Merci d'avance ! smile

Hors ligne

#2 02-11-2017 13:51:06

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Restreindre la connexion ssh aux IP locales.

par le port et en utilisant l'option -p xxxx :
https://debian-facile.org/doc:reseau:ss … ur#le-port
https://debian-facile.org/doc:reseau:ss … ll-distant

Dernière modification par smolski (02-11-2017 13:52:35)


"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#3 02-11-2017 14:17:28

raleur
Membre
Inscription : 03-10-2014

Re : Restreindre la connexion ssh aux IP locales.

@smolski : Je ne vois pas le rap-port avec la question.

@Philou : Que veux-tu dire exactement par "IP locales" ?

Hors ligne

#4 02-11-2017 15:18:27

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Restreindre la connexion ssh aux IP locales.

Je n'ai fait qu'utiliser le wiki à propos de ssh et la restriction de son accès, donc voilà pourquoi j'indique le port à modifier. cool

"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#5 02-11-2017 15:41:07

raleur
Membre
Inscription : 03-10-2014

Re : Restreindre la connexion ssh aux IP locales.

Précisément, quel est le rapport entre la restriction des adresses et la modification du port ?

Hors ligne

#6 02-11-2017 16:07:01

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Restreindre la connexion ssh aux IP locales.

De mon point de vue, mettre un port spécifique permet le ssh via ce port entre les pc locaux, dac, c'est pas par l'IP, mais mour le même résultat pratique au bout.
J'ai faux ?

"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#7 02-11-2017 16:19:56

bendia
Admin stagiaire
Distrib. : Stretch (et un peu Jessie)
Noyau : Linux 4.9.0-2-amd64
(G)UI : Gnome + Console
Inscription : 20-03-2012
Site Web

Re : Restreindre la connexion ssh aux IP locales.

Je crois que t'as faux wink

Ce que tu proposes, c'est changer le port d'entrée mais toutes les adresses IP peuvent y avoir accès qu'elles soient du réseau local ou non.

Pour imager, si tu ne fais rien de particulier pour filtrer qui peut ouvrir la porte, que tu mettent des parpaings soit sur la porte de la façade ou bien sur celle du pignon, tout le monde rentre pareille dans la maison tongue

Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

En ligne

#8 02-11-2017 16:56:32

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Restreindre la connexion ssh aux IP locales.

Il faut connaître le port pour entrer, non ?

"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#9 02-11-2017 16:58:09

bendia
Admin stagiaire
Distrib. : Stretch (et un peu Jessie)
Noyau : Linux 4.9.0-2-amd64
(G)UI : Gnome + Console
Inscription : 20-03-2012
Site Web

Re : Restreindre la connexion ssh aux IP locales.

Tu peux faire le tour de la maison pour trouver la porte wink (scan de ports)

Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

En ligne

#10 02-11-2017 17:01:17

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 9 (stretch) 64 bits + backports
Noyau : 4.9.65-3+deb9u2
(G)UI : gnome
Inscription : 21-10-2008

Re : Restreindre la connexion ssh aux IP locales.

ok. smile

"Théo et Adama te rappellent pourquoi Zyed et Bouna couraient…"
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

#11 03-11-2017 16:10:10

Philou
Membre
Inscription : 03-09-2017

Re : Restreindre la connexion ssh aux IP locales.

Je veux n'autoriser que les connexions commencant par 192.168.1.x à l'accès ssh. Est ce possible ?

Hors ligne

#12 03-11-2017 16:19:08

anonyme-6
Invité

Re : Restreindre la connexion ssh aux IP locales.

Bonjour,

raleur a écrit :

@Philou : Que veux-tu dire exactement par "IP locales" ?


Pilou a écrit :

Je veux n'autoriser que les connexions commencant par 192.168.1.x à l'accès ssh


Il semble bien que Philou veut refuser la connexion à toute machine hors du réseau local.

Si c'est cela, il peut commencer par ne rien faire, c'est à dire ne pas mettre de redirection NAT sur sa box pour le service ssh; si son serveur n'est pas en IPv6.
Il restera quand même exposé à une effraction de son logement ou un crack de sa wifi.

C'est ici qu'intervient la suite

Dernière modification par anonyme-6 (03-11-2017 16:22:13)

#13 03-11-2017 20:20:02

yap22
Membre
Lieu : Bro Dreger (Breizh)
Distrib. : Debian stable et Aptosid
Noyau : 4.11.0-5.slh.1-aptosid-amd64
(G)UI : Xfce
Inscription : 29-02-2016

Re : Restreindre la connexion ssh aux IP locales.

Bonjour,

Le paramètre ListenAddress du fichier /etc/ssh/sshd_config a l'air sympa.

Lire le man sshd_config pour les détails sur les paramètres de ssh.

Hors ligne

#14 03-11-2017 20:59:30

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Restreindre la connexion ssh aux IP locales.

Je confirme, à priori.

Après ça n'a aucune utilité vu qu'il faut une règle NAT pour qu'une personne de l'internet contacte ton serveur ssh derrière ton routeur. Sauf si tu penses que ton routeur est un traître bien sûr !

Sinon pour le niveau de sécurité, faut s'identifier par clef privée plutôt que par mot de passe; ça c'est solide.

Dernière modification par otyugh (03-11-2017 21:05:38)


Agenda du libre : dépannage par des bénévoles pour tout le monde !
Arzano Informatique : dépannage gagne-pain.
Liste de balados (aussi dit "podcast") : emissions audio pro/amateur

En ligne

#15 04-11-2017 15:18:10

raleur
Membre
Inscription : 03-10-2014

Re : Restreindre la connexion ssh aux IP locales.

yap22 a écrit :

Le paramètre ListenAddress du fichier /etc/ssh/sshd_config a l'air sympa.


Cela permet de spécifier l'adresse d'écoute, pas l'adresse des clients.

Avec openssh-server,on peut restreindre l'accès avec tcpwrapper via /etc/hosts.allow et /etc/hosts.deny, ou les options AllowUsers et DenyUsers dans /etc/ssh/sshd_config. Avec n'importe quel serveur SSH on peut utiliser des règles iptables.

trentanel a écrit :

Si c'est cela, il peut commencer par ne rien faire, c'est à dire ne pas mettre de redirection NAT sur sa box pour le service ssh; si son serveur n'est pas en IPv6.
Il restera quand même exposé à une effraction de son logement ou un crack de sa wifi.


Une restriction d'accès basée sur l'adresse source sera aussi inopérante dans ces deux cas puisque l'attaquant aura une adresse IP locale.

Dernière modification par raleur (04-11-2017 15:19:07)

Hors ligne

Pied de page des forums