logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 02-11-2017 10:33:39

Philou
Membre
Distrib. : Debian 10
Noyau : Linux 4.19.0-5-amd64
Inscription : 03-09-2017

Restreindre la connexion ssh aux IP locales.

Bonjour,

J'aimerais savoir si on peut limiter l'accès ssh uniquement aux IP locales. En effet je n'accède à mes PC qu'à la maison.

Merci d'avance ! smile

Hors ligne

#2 02-11-2017 12:51:06

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : Restreindre la connexion ssh aux IP locales.

par le port et en utilisant l'option -p xxxx :
https://debian-facile.org/doc:reseau:ss … ur#le-port
https://debian-facile.org/doc:reseau:ss … ll-distant

Dernière modification par smolski (02-11-2017 12:52:35)


saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#3 02-11-2017 13:17:28

raleur
Membre
Inscription : 03-10-2014

Re : Restreindre la connexion ssh aux IP locales.

@smolski : Je ne vois pas le rap-port avec la question.

@Philou : Que veux-tu dire exactement par "IP locales" ?

Il vaut mieux montrer que raconter.

Hors ligne

#4 02-11-2017 14:18:27

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : Restreindre la connexion ssh aux IP locales.

Je n'ai fait qu'utiliser le wiki à propos de ssh et la restriction de son accès, donc voilà pourquoi j'indique le port à modifier. cool

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#5 02-11-2017 14:41:07

raleur
Membre
Inscription : 03-10-2014

Re : Restreindre la connexion ssh aux IP locales.

Précisément, quel est le rapport entre la restriction des adresses et la modification du port ?

Il vaut mieux montrer que raconter.

Hors ligne

#6 02-11-2017 15:07:01

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : Restreindre la connexion ssh aux IP locales.

De mon point de vue, mettre un port spécifique permet le ssh via ce port entre les pc locaux, dac, c'est pas par l'IP, mais mour le même résultat pratique au bout.
J'ai faux ?

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#7 02-11-2017 15:19:56

bendia
Chadministrateur
Distrib. : openSUSE Tumbleweed, Buster
Noyau : Linux 5.9.1-2-default + Linux 4.19.0-12-amd64
(G)UI : Gnome + Console et un peu Fluxbox
Inscription : 20-03-2012
Site Web

Re : Restreindre la connexion ssh aux IP locales.

Je crois que t'as faux wink

Ce que tu proposes, c'est changer le port d'entrée mais toutes les adresses IP peuvent y avoir accès qu'elles soient du réseau local ou non.

Pour imager, si tu ne fais rien de particulier pour filtrer qui peut ouvrir la porte, que tu mettent des parpaings soit sur la porte de la façade ou bien sur celle du pignon, tout le monde rentre pareille dans la maison tongue

Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.

Hors ligne

#8 02-11-2017 15:56:32

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : Restreindre la connexion ssh aux IP locales.

Il faut connaître le port pour entrer, non ?

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#9 02-11-2017 15:58:09

bendia
Chadministrateur
Distrib. : openSUSE Tumbleweed, Buster
Noyau : Linux 5.9.1-2-default + Linux 4.19.0-12-amd64
(G)UI : Gnome + Console et un peu Fluxbox
Inscription : 20-03-2012
Site Web

Re : Restreindre la connexion ssh aux IP locales.

Tu peux faire le tour de la maison pour trouver la porte wink (scan de ports)

Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.

Hors ligne

#10 02-11-2017 16:01:17

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : Restreindre la connexion ssh aux IP locales.

ok. smile

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#11 03-11-2017 15:10:10

Philou
Membre
Distrib. : Debian 10
Noyau : Linux 4.19.0-5-amd64
Inscription : 03-09-2017

Re : Restreindre la connexion ssh aux IP locales.

Je veux n'autoriser que les connexions commencant par 192.168.1.x à l'accès ssh. Est ce possible ?

Hors ligne

#12 03-11-2017 15:19:08

anonyme-6
Invité

Re : Restreindre la connexion ssh aux IP locales.

Bonjour,

raleur a écrit :

@Philou : Que veux-tu dire exactement par "IP locales" ?


Pilou a écrit :

Je veux n'autoriser que les connexions commencant par 192.168.1.x à l'accès ssh


Il semble bien que Philou veut refuser la connexion à toute machine hors du réseau local.

Si c'est cela, il peut commencer par ne rien faire, c'est à dire ne pas mettre de redirection NAT sur sa box pour le service ssh; si son serveur n'est pas en IPv6.
Il restera quand même exposé à une effraction de son logement ou un crack de sa wifi.

C'est ici qu'intervient la suite

Dernière modification par anonyme-6 (03-11-2017 15:22:13)

#13 03-11-2017 19:20:02

yap22
Membre
Lieu : Bro Dreger (Breizh)
Distrib. : Debian stable
(G)UI : Xfce
Inscription : 29-02-2016

Re : Restreindre la connexion ssh aux IP locales.

Bonjour,

Le paramètre ListenAddress du fichier /etc/ssh/sshd_config a l'air sympa.

Lire le man sshd_config pour les détails sur les paramètres de ssh.

Hors ligne

#14 03-11-2017 19:59:30

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Restreindre la connexion ssh aux IP locales.

Je confirme, à priori.

Après ça n'a aucune utilité vu qu'il faut une règle NAT pour qu'une personne de l'internet contacte ton serveur ssh derrière ton routeur. Sauf si tu penses que ton routeur est un traître bien sûr !

Sinon pour le niveau de sécurité, faut s'identifier par clef privée plutôt que par mot de passe; ça c'est solide.

Dernière modification par otyugh (03-11-2017 20:05:38)


virtue_signaling.pngpalestine.png

Hors ligne

#15 04-11-2017 14:18:10

raleur
Membre
Inscription : 03-10-2014

Re : Restreindre la connexion ssh aux IP locales.

yap22 a écrit :

Le paramètre ListenAddress du fichier /etc/ssh/sshd_config a l'air sympa.


Cela permet de spécifier l'adresse d'écoute, pas l'adresse des clients.

Avec openssh-server,on peut restreindre l'accès avec tcpwrapper via /etc/hosts.allow et /etc/hosts.deny, ou les options AllowUsers et DenyUsers dans /etc/ssh/sshd_config. Avec n'importe quel serveur SSH on peut utiliser des règles iptables.

trentanel a écrit :

Si c'est cela, il peut commencer par ne rien faire, c'est à dire ne pas mettre de redirection NAT sur sa box pour le service ssh; si son serveur n'est pas en IPv6.
Il restera quand même exposé à une effraction de son logement ou un crack de sa wifi.


Une restriction d'accès basée sur l'adresse source sera aussi inopérante dans ces deux cas puisque l'attaquant aura une adresse IP locale.

Dernière modification par raleur (04-11-2017 14:19:07)


Il vaut mieux montrer que raconter.

Hors ligne

Pied de page des forums