• [^] # Re: Question d'un profane

    Posté par . En réponse à la dépêche reaction, remplaçant de fail2ban. Évalué à 2.

    J'ai longtemps eu un sshd ouvert sur l'extérieur et c'est visiblement une cible très recherchée depuis longtemps. Voir trop pour un outil comme fail2ban.

    J'étais donc passé au port-knocking en choisissant une séquence simple et réalisable au besoin sans outil dédié (un triplet de ping uniques): Port/redirection toujours ouverte côté box, ainsi que celle concernant les ports utilisé en stimuli au knockd, ce dernier ouvrant juste le 22 sur la machine à la demande.

    Puis Orange m'a un jour passé en IPv6 une nuit sans prévenir... et qq temps après, regardant les logs par hasard, je m'en apercoit car les tentatives de bruteforce ssh avaient repris!

    Ce n'était pas qu'un pb de configuration de knockd: Il ne supporte pas IPv6... Et pas trouvé d'alternatives dans les dépôts Debian quand j'avais cherché.

    La machine avec un sshd étant un PI qui héberge ma domotique déjà rendue accessible en https (via domaine no-ip et certificat let's encrypt) et ce dernier étant paradoxalement incomparablement moins visé que ssh (pas grand chose en dehors des robots d'indexation des moteurs de recherche qui lâchent l'affaire après lecture du robots.txt ou sur la page de login), ça a fini par un interrupteur virtuel sur la page domotique qui déclenche un script qui ouvre le 22 pour 1 minute sur demande, laissant le temps d’établir une connexion ssh externe.

    AMHA, il n'y a guère le choix avec un serveur ssh: Le seul moyen d'avoir la paix c'est d'avoir un moyen adapté à sa situation pour l'ouvrir à la demande... C'est juste trop ciblé et même passer a l'authentification par clef ne résout aucunement la pollution de log et de son LAN par les tentatives.