4 votes

user2143356 avatar

Puis-je (pratiquement) bloquer l'accès au port SSH à mon pays uniquement ?

Demandé el 23 de Mai, 2014
Quand la question a-t-elle été
2967 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je pense que bloquer l'accès au port SSH pour n'autoriser que mon pays est une étape évidente, mais je ne vois pas de moyen pratique de le faire.

Je suis au Royaume-Uni, si cela a de l'importance. J'ai un accès complet au serveur Ubuntu. Le serveur est un serveur distant basé sur le cloud.

Cela semble trop facile et je ne vois pas comment cela peut fonctionner : http://eminasif.wordpress.com/2014/01/14/how-to-restrict-server-ssh-access-or-any-port-only-for-specific-country-in-csf/

Cela montre un grand nombre d'adresses IP mais je ne vois pas comment je peux les transférer vers quelque chose d'utilisable/pratique : http://www.nirsoft.net/countryip/gb.html

En fait, seul un bureau de personnes aura jamais besoin d'un accès (personne n'est à distance). J'hésite cependant à définir l'adresse IP actuelle que nous utilisons pour nous connecter, car elle semble changer tous les 6 mois.

J'ai mis en place d'autres bonnes pratiques de sécurité - désactivation de la connexion root, clés de cryptage à haut débit, etc. mais cela semble être une étape supplémentaire évidente.

Est-ce que ça vaut la peine de s'embêter ? Existe-t-il un moyen fiable de le faire ?

Demandé el 23 de Mai, 2014 par user2143356

1 votes

Avatar de Pablo Venturino

Vous pouvez le faire, mais espérez que vous n'aurez jamais besoin de vous connecter en SSH lorsque vous êtes en déplacement.

Commenté el 23 de Mai, 2014 par Pablo Venturino

4 votes

Avatar de Andrew Domaszek

Je ne pense pas que ça vaille la peine de s'embêter. Comme mentionné dans certaines réponses, c'est facilement contournable et les listes de geoip sont inexactes assez souvent pour être importantes. Désactiver l'authentification par mot de passe et utiliser une pubkey ou une authentification gss/krb de taille raisonnable est suffisant.

Commenté el 23 de Mai, 2014 par Andrew Domaszek

Réponses

Trop de publicités?

5voto

Nathan C avatar
Nathan C Points 14821

Cela ne semble pas complètement nécessaire. En fonction de votre pare-feu, il pourrait être en mesure d'effectuer son propre blocage GeoIP. Sinon, vous pouvez utiliser iptables pour "autoriser" le bloc d'IP que vous obtenez au sein du bureau.

Cependant, ce que vous avez fait jusqu'à présent est suffisant pour le plus serveurs. L'authentification par clé uniquement rend la force brute irréalisable. Vous pouvez réduire davantage les attaques en modifiant le port SSH par défaut. Notez que cela ne renforce pas la sécurité, mais que cela réduit de 90 % le trafic erroné des scanners automatiques qui ne recherchent pas le SSH sur des ports différents.

Répondu el 23 de Mai, 2014 par Nathan C (14821 Points )

5voto

Dara Kong avatar
Dara Kong Points 609

Cela ressemble à un exemple subtil de sécurité par l'obscurité. Quiconque est réellement intéressé par le piratage d'un système comme celui-ci peut facilement trouver une mandataire ouvert o louer un serveur au Royaume-Uni, et attaquer à partir de là.

En même temps, vous rendez les opérations plus difficiles :

  • Vous doivent utiliser des heuristiques puisqu'il n'y a rien de tel qu'un "pays" dans TCP/IP. Les méthodes heuristiques échouent, et lorsqu'elles échouent, c'est au moment où l'on a le plus besoin d'aide. le pire moment possible .
  • Une configuration non standard va frustrer les futurs mainteneurs.
  • Les sauvegardes critiques doivent être répliquées dans le monde entier. Vous ne voulez pas attendre un temps d'arrêt de la production pour découvrir qu'un chemin de récupération critique est bloqué.
Répondu el 23 de Mai, 2014 par Dara Kong (609 Points )

0 votes

Avatar de user2143356

J'ai voté en faveur de quelques réponses, mais dans l'ensemble, les réponses données ici m'ont fait comprendre que cela ne valait pas la peine de s'embêter. D'autant plus que mon IP change tous les 6 mois. Cette réponse m'a aidé le plus, suivie de près par la réponse de Nathan C.

Commenté el 23 de Mai, 2014 par user2143356

1 votes

Avatar de martin

Le lien semble être hors sujet. Vous cherchiez sûrement une définition différente de "l'effet de démonstration".

Commenté el 23 de Mai, 2014 par martin

0 votes

Avatar de Dara Kong

@kasperd Whoops, merci ! Les liens Wikipédia sont parfois en pilotage automatique :)

Commenté el 24 de Mai, 2014 par Dara Kong

2voto

Vasili Syrakis avatar
Vasili Syrakis Points 4395

J'ai constaté que la plupart des listes de localisation d'adresses IP ne sont pas fiables. Certaines adresses sont totalement fausses.

Il serait plus simple de créer un VPN pour chaque personne qui a besoin de se connecter en SSH, afin qu'elle puisse se connecter de n'importe où... et de bloquer l'accès SSH au public.

Répondu el 23 de Mai, 2014 par Vasili Syrakis (4395 Points )

0 votes

Avatar de TomTom

Elles ne sont pas fausses, mais elles sont probablement liées à l'endroit où la société qui les a attribuées est enregistrée.

Commenté el 23 de Mai, 2014 par TomTom

0 votes

Avatar de FreeSoftwareServers

Plages d'adresses IP privées IPv4 uniquement et accès LAN via VPN !

Commenté el 18 de Mars, 2021 par FreeSoftwareServers

1voto

Di Mi avatar
Di Mi Points 21

Pour être honnête, je ne pense pas que vous puissiez garantir que SEULS les personnes du Royaume-Uni puissent se connecter via SSH, car je n'ai pas connaissance d'une méthode permettant d'identifier à 100% une connexion.

http://www.geoip.co.uk/ pourrait être un moyen d'y parvenir, mais le fait de l'interroger à chaque fois et d'inspecter le résultat pourrait déclencher trop de délais d'attente.

Répondu el 23 de Mai, 2014 par Di Mi (21 Points )

1voto

Creek avatar
Creek Points 1346

Si vous vouliez autoriser uniquement certains lieux en fonction de l'IP, en supposant que vous utilisez iptables vous devez définir le paramètre par défaut INPUT politique pour DROP puis autoriser individuellement chaque bloc d'adresses qui.

À mon avis, il serait beaucoup moins coûteux et relativement sûr de désactiver l'authentification par mot de passe et de n'autoriser que les connexions par clé au serveur.

Répondu el 23 de Mai, 2014 par Creek (1346 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X