Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 13-09-2017 17:30:49

David5647
Membre
Distrib. : Debian 9
Noyau : Linux 4.9.0-3-amd64
(G)UI : KDE
Inscription : 27-08-2017

securiser SSH & VNC

Bonjour à tous,

Passer à linux, c'est aussi se poser des questions, jusqu’alors insoupçonnées, sur la sécurité!
Je fais aujourd'hui essentiellement de la bidouille, et ai ouvert un port ssh sur mon raspberrypi
Après avoir parcouru de nombreux tutos sur le SSH, me reste des questions :

1) SSH local ?

j'utilise cette liaison, pour lors, uniquement en local, mais d'après ce que j'ai pu comprendre mon port serai ouvert sur le monde extérieur?
Puis-je uniquement l'ouvrir en local? Un genre de " -listen mon_reseau_local " pit-être?

2) Quelles options de sécurité ?
On nous conseille :
     -  de modifier le port ....................................... fait
     -  pas de connexion en root ............................fait, mais je suis sudoer (inutile donc? difficile de faire autrement sur raspberry)
     -  désactiver l’accès par mot de passe  ......  pas fait, mais j'ai généré des clefs pour mon pc
     -  autoriser seulement certaines ip ............... pas fait
     -  fail2ban ..........................................................fait : options par défaut
 
J'ai l'impression qu'on nous conseille à chaque fois le maximum d'options, mais si j'autorise, par exemple, seule l'ip de mon pc,
est ce que supprimer les mots de passe, ouvrir tout les ports et activer la connexion en root peut poser problème?

3) sécuriser VNC/x11vnc
D'après ce que j'ai compris vnc ne sécurise que le début de la communication (mot de passe)
le principe est alors de tunneliser la liaison
j'aboutis à ceci, pouvez vous valider mes commandes? (en terme de sécurité)
sur le raspberry :

x11vnc -display :0 -noxdamage -auth guess -rfbauth ~/.x11vnc_passwd -listen 127.0.0.1 -tightfilexfer


sur mon pc :

ssh -t -X -L 5903:127.0.0.1:5900 daguhh@192.168.1.17 -p 5265
vncviewer 127.0.0.1:3


Ce qui me dérange, c'est que j'ouvre un port 5900, protégé par mdp uniquement non?


PS : 1 ) D'autre part, on recommande souvent d'utiliser putty, mais ça marche très bien en console, ya t'il une subtilité qui m'aurait échappée?
2 ) la manip est assez lourde : ouvrir une console : se connecter en ssh, lancer le serveur, ouvrir une nouvelle console : créer le tunnel, ouvrir un nouvelle console lancer vncviewer, je dois surment pouvoir un bash, mais n'y a t-il pas plus simple?

Hors ligne

#2 13-09-2017 19:57:03

tux12
Membre
Lieu : ./
Distrib. : stable
Noyau : celui de la stable
(G)UI : KDE
Inscription : 27-02-2008

Re : securiser SSH & VNC

Bonjour,

Quelques éléments de réponse concernant SSH:

Je suppose que ton raspi est sur un réseau local derrière une box. Dans ce cas il ne peut être joint sur un port quelconque depuis l'extérieur du LAN qu'à la condition que tu ais mis en place une redirection de port (NAT) sur la box à destination de ce port et de l'IP de ton raspi.

Modifier le port par défaut est une pratique qui permet de s'affranchir de 99% des attaques sur le port SSH, mais ça ne concerne réellement que les machines accessibles depuis internet, donc pas ton raspi si tu es dans le cas décrit précédemment (box et pas de NAT mis en place). Un fail2ban est un bon complément pour le 1% restant. Pour info mon VPS tourne depuis plus de 3 ans avec un fail2ban et un port non-standard, et je n'ai vu qu'une seule tentative de bruteforce qui s'est vite arrêtée face au ban de l'IP pour 24h au bout de 3 tentatives. Par contre si tu modifies le port d'écoute du serveur SSH il faut penser à adapter la config du fail2ban, sinon il continuera à surveiller l'activité sur le port 22.

Mes 2 cts.

Hors ligne

#3 13-09-2017 21:12:48

David5647
Membre
Distrib. : Debian 9
Noyau : Linux 4.9.0-3-amd64
(G)UI : KDE
Inscription : 27-08-2017

Re : securiser SSH & VNC

ok, je suis maintenant un peu plus éclairé,
je suis bien derrière une box, à priori je peux faire n’importe quoi tranquillement big_smile ,
Il me semble que j'ai modifié le port dans fail2ban, jvais vérifier

c'est vrai qu'à voir des commentaires, on a vraiment l'impression que c'est la jungle dehors,
Bref, je sais quoi faire si jamais je voulais accéder à mon raspi depuis l’extérieur,

merci smile

Hors ligne

Pied de page des forums