OVH Community, votre nouvel espace communautaire.

changer le port ssh par défaut sur dédié ovh


bbr18
15/01/2015, 13h42
Pour ma part, clé ssh, connexion root interdite et blocage du port 22 sauf pour les IP autorisées, si je ne suis pas chez moi, j'utilise un vpn dont l'ip est autorisée., fail2ban est au chômage technique pour ssh

Rizz
15/01/2015, 12h28
[Mode Troll]

Et puis c'est super pratique d'avoir 50 serveurs avec 50 port ssh différents. ( pour semer le doute dans l'esprit du vil hackeur poilu )

Sinon c'est pour avoir moins de log vous pouvez aussi arrêter Rsyslog se sera super calme. XD

Et enfin recevoir des attaques .... faudrait encore que les dico utilisés pour les mot de passe soit bien fouttu. Pour moi c'est pas plus des attaques que des chatouilles.

Aller le truc qui n'a pas été abordé et qui est plus grave qu'un port ssh en 22.
Vous devez interdire les co en root directement et déterminer quels utilisateurs peuvent passer en super user ( par défaut c'est tous , vous n'avez jamais vu www-data tenté de passer en Su .??? XDDDD)

Kioob
15/01/2015, 08h27
Citation Envoyé par fritz2cat
+1 pour ne pas utiliser les ports standards pour ssh et rdp, on est bien d'accord que ça n'améliore pas la sécurité mais on recoit franchement moins d'attaques de la part d'outils de scanning automatisés.
J'apprécie le silence, dans les logs et les jails.
Entièrement d'accord avec ça. En changeant le port, on simplifie le boulot : les véritables attaques ou utilisation ne sont plus noyées dans le flux des scripts kiddies.

Quant à l'impact sur les services OVH, une solution est de laisser aussi le port 22 ouvert, mais en le filtrant sur les IP OVH (c'est à dire cache.ovh.net, en IPv4 + IPv6).

arn0
12/01/2015, 08h53
Citation Envoyé par hedii
ok merci pour vos reponses, je vais le modifier alors.

je prefere modifier le port plutot que de mettre une clé, car :
- j'accede au serveur a partir de plusieurs machines (et meme de mon iphone), et c'est pas vraiment pratique de mettre une clé sur chaque appareil que je possede.
- j'ai fail2ban sur mes autres serveurs qui ont plus de 2 ans et qui sont configurés avec le port ssh autre que 22, j'ai tres peu de monde en jail ssh (2 ou 3 au max), alors que sur mon serveur ovh qui a que une semaine de vie et qui utilise le port 22, c'est la fete dans la jail fail2ban ssh, y'a deja 40 IP...
j'ai également de nombreuses attaques sur le port SSH de mon serveur. Hier j'ai eu 128 IP qui ont tenté des connexions (des IP provenant de Chine, Afrique, Angleterre etc.). Heureusement que Fail2ban stoppe au bout de 3 tentatives mais bon je compte peut etre aussi changer le port 22 pour éviter au moins les bot de faire cela...

cassiopee
11/01/2015, 10h41
Tout comme les mots de passe d'ailleurs, ce que tu décris là se fait également avec de simples mots de passe SSH,
généralement placés dans des scripts de sauvegarde, etc.

Abazada
11/01/2015, 05h42
Bonjour,
Faites quand même attention avec vos clefs. Je connais un petit hébergeur qui s'est fait pirater un de ses serveurs sur lequel les pirates ont trouvé... les clefs de tous les autres serveurs !
Ils ont joué en finesse, se sont installé un compte spécial sur chacun d'eux, et ont utilisé ces serveurs pour un botnet pendant des mois avant qu'une mise à jour ne casse leur petit réseau interne...

Petit rappel:
- Idéalement n'autorisez que les accès "vous -> serveurs".
- Si certains serveurs doivent "accéder" à d'autres, limitez strictement ce qu'ils peuvent y faire.
- Vos serveurs ne doivent jamais pouvoir accéder à votre serveur de backup
- ...

Les clefs c'est très bien, mais il ne faut pas les laisser traîner n'importe où

fritz2cat
10/01/2015, 21h24
+1 pour ne pas utiliser les ports standards pour ssh et rdp, on est bien d'accord que ça n'améliore pas la sécurité mais on recoit franchement moins d'attaques de la part d'outils de scanning automatisés.
J'apprécie le silence, dans les logs et les jails.

NicolasFR
10/01/2015, 16h59
Citation Envoyé par hedii
alors tu estimes mal, je suis sur linux, je connais déjà les clés public/privées sans vouloir m'en servir (pour les raisons évoquées plus haut), et ma question ne portait pas sur l'utilisation des clés ou clients ssh, mais sur la possibilité de changer le port 22 sans avoir des répercutions au niveau des service ovh.

voila, c'est pas pour etre malpoli, mais les histoire des clés c'est un peu hors sujet sur ce topic.

bon weekend !
Tu peux sans difficultés modifier le port SSH que ce soit sur les release OVH ou sur les autres distri, je le fais sur tous mes serveurs OVH.

Et je te rejoins parfaitement sur cette idée, pour ma part, je vois pas l'intérêt de laisser le port 22 par défaut pour avoir sans arrêt des tentatives... D'ailleurs il est tout aussi important de changer le port RDP des serveurs Windows pour les mêmes raisons.

cassiopee
10/01/2015, 15h17
Citation Envoyé par captainadmin
PS: Nowwhat putty n'est qu'un utilitaire pour windowsien souhaitant se connecter sur linux,
Pour information PuTTY fonctionne très bien sous Linux ...

hedii
09/01/2015, 16h26
Citation Envoyé par Nowwhat
J'estime que dès que il y a des questions dans cette domaine il s'agit d'un utilisateur "Microsoft Windows"
alors tu estimes mal, je suis sur linux, je connais déjà les clés public/privées sans vouloir m'en servir (pour les raisons évoquées plus haut), et ma question ne portait pas sur l'utilisation des clés ou clients ssh, mais sur la possibilité de changer le port 22 sans avoir des répercutions au niveau des service ovh.

voila, c'est pas pour etre malpoli, mais les histoire des clés c'est un peu hors sujet sur ce topic.

bon weekend !

Nowwhat
09/01/2015, 14h49
Citation Envoyé par captainadmin
.....
PS: Nowwhat putty n'est qu'un utilitaire pour windowsien souhaitant se connecter sur linux, il est très probable que les gens ici soient directement sous linux et utilise l'agent ssh par default qui fonctionne encore mieux
Entièrement d'accord
Ma réponse est entièrement focus utilisateur "Microstof Windows".
Un utilisateur de "Microsoft Windows" a besoin de connaitre ce que c'est, un client SSH, un "login avec clés" etc. - un utilisateur Linux voir même MAC, eux, le savent déjà depuis longtemps.
J'estime que dès que il y a des questions dans cette domaine il s'agit d'un utilisateur "Microsoft Windows"

captainadmin
09/01/2015, 14h27
Hello

Rien ne t'empeche de changer le port ssh et d'activer l'accès unique par clé.
Mieux vaut plus de sécurité que moins.

Le fait d'avoir 40 ip dans le fail2ban peut venir de 2 facteurs, l'acces ssh sur le port 22 qui se fait forcer et le fait d'utiliser une ip ovh qui sont pas mal soumis à ce genre de pratique.

Encore un autre protocole qui sème le doute https://github.com/drk1wi/portspoof
Comme ca tu changes les différents retour suite aux scan de port

il existe pleins d'outils intéressant pour sécuriser son serveur mais à vous de voir ce que chacun souhaite mettre en place

bonne journée
http://www.captainadmin.com

PS: Nowwhat putty n'est qu'un utilitaire pour windowsien souhaitant se connecter sur linux, il est très probable que les gens ici soient directement sous linux et utilise l'agent ssh par default qui fonctionne encore mieux

Nowwhat
09/01/2015, 12h46
Citation Envoyé par hedii
.....
je prefere modifier le port plutot que de mettre une clé, car :
- j'accede au serveur a partir de plusieurs machines (et meme de mon iphone), et c'est pas vraiment pratique de mettre une clé sur chaque appareil que je possede.
Tout faux
Rien est plus simple: install Putty partout - et pointe le fichier "clé privé" sur un lecteur "clé-usb" que tu porte avec toi (comme tes autres clés).
Donc: ton absence rend l'accès à ton serveur complètement impossible car il faut le clé privé (qui est sur ton clé USB) et il faut le mot de passe de ce clé privé (qui est dans ta tête).
Exception: mon iPhone possède aussi un logiciel client-SSH - j'ai placé mon clé-privé sur mon iPhone (dans l'app ssh).

Citation Envoyé par hedii
.....
- j'ai fail2ban sur mes autres serveurs qui ont plus de 2 ans et qui sont configurés avec le port ssh autre que 22, j'ai tres peu de monde en jail ssh (2 ou 3 au max), alors que sur mon serveur ovh qui a que une semaine de vie et qui utilise le port 22, c'est la fete dans la jail fail2ban ssh, y'a deja 40 IP...
40 ?
http://www.papy-team.org/munin/papy-.../fail2ban.html
et je compte pas les scans sur toutes les portes.
Il me semble que 'planquer' la porte SSH sur un autre porte n'est qu'une indication direct que le login fonctionne avec "clavier" : c'est donc une invitation pour qu'un "attaque bibliothèque" conventionnelle fonctionne, même si fail2ban bloques les tentatives trop rapides.

hedii
09/01/2015, 12h17
ok merci pour vos reponses, je vais le modifier alors.

je prefere modifier le port plutot que de mettre une clé, car :
- j'accede au serveur a partir de plusieurs machines (et meme de mon iphone), et c'est pas vraiment pratique de mettre une clé sur chaque appareil que je possede.
- j'ai fail2ban sur mes autres serveurs qui ont plus de 2 ans et qui sont configurés avec le port ssh autre que 22, j'ai tres peu de monde en jail ssh (2 ou 3 au max), alors que sur mon serveur ovh qui a que une semaine de vie et qui utilise le port 22, c'est la fete dans la jail fail2ban ssh, y'a deja 40 IP...

Nowwhat
08/01/2015, 14h16
Citation Envoyé par masterboy
N.....faut faire attention à pas perdre les clés justement ... là j'ai swiché dans ce mode sans faire exprès et je m'amuse en rescue pour résoudre le problème.
Il faut toujours faire attention.
C'est comme avec la copine, la bagnole, te CB, ton boulot, la maison, les assurances.

Mais tu soulève un point important.
DES que t'as reçu ton serveur, on applique l'accès par clés.
Forcement, on foire l'application, donc on est forcé de faire une passage "mode rescue".
Ce qui est excellent, car il faut savoir manier ce mode - c'est une passage quasiment obligatoire. Comme ça, en cas de hack/casse/soucis-majeur on sauras "monter ces partitions" et "accéder à ces fichiers".

masterboy
08/01/2015, 14h00
Citation Envoyé par hedii
Bonjour,
Petite question surement idiote...
Sur mes serveurs j'ai pris l'habitude de changer le port ssh par défaut (port 22) par un autre numéro de port.
Je possède maintenant mon premier dédié ovh, et je voulais savoir si le fait de changer le port 22 par autre chose ne va pas bloquer de possibles services mis en place par ovh ?
Non, cela ne va rien bloquer du tout.

Les scans de boot vont diminuer de 95% après cette action.

Après avec l'histoire de clés public / privée faut faire attention à pas perdre les clés justement ... là j'ai swiché dans ce mode sans faire exprès et je m'amuse en rescue pour résoudre le problème.

Nowwhat
08/01/2015, 13h41
Citation Envoyé par hedii
.....
Sur mes serveurs j'ai pris l'habitude de changer le port ssh par défaut (port 22) par un autre numéro de port.
T'as pas besoin de faire ça.
Il existe une protection bien mieux que ça.

Ton serveur est livré avec un accès utilisateur "root" + son mot de passe.
Dès que t'as pris possession de ton serveur, il est normal de:
Bloquer 'accès' par "utilisateur + mot de passe, aussi nommé keyboard login.
Procède à la génération d'un clé privé publique + privé - puis active-le.
Ajoute-le aussi dans ton "Putty".
Des tutos concernant ce sujet, il existe des tonnes sur le net - même sur ce forum, tellement que c'est une procédure classique.

La, t'auras quelques chose de inviolable.

Ajoute éventuellement une couche "fail2ban" est t'es bon.

Changer la porte 22 pour un autre: tu embête que toi même, et le premier neuneuh sur le net le trouve quand même (tu connais "nmap" ?) de suite.

captainadmin
08/01/2015, 13h30
Hello,

Tu peux le faire sans problème, la seule chose c'est pour l'acces des techniciens OVH
Pour ce que tu peux bloquer/changer voici une petite explication

http://guide.ovh.com/FireWall

Bonne journée
http://www.captainadmin.com

hedii
08/01/2015, 12h27
Bonjour,
Petite question surement idiote...
Sur mes serveurs j'ai pris l'habitude de changer le port ssh par défaut (port 22) par un autre numéro de port.
Je possède maintenant mon premier dédié ovh, et je voulais savoir si le fait de changer le port 22 par autre chose ne va pas bloquer de possibles services mis en place par ovh ?