Depuis la backdoor sur openssh (journal) il est hors de question que le port ssh soit accessible librement sur Internet.
Dans mon cas, j'avais pensé à mettre en place le port-knocking évoqué plus haut, puis j'ai vu que cela allait être chiant pour la partie client. Même chose pour la mise en place d'un VPN pour uniquement l'accès SSH. Donc j'utilise un serveur web et un serveur proxy.
Le serveur web (en https bien sûr, et sécurisé par un mot de passe), permet d'autoriser l'IP actuelle.
Le serveur proxy est un proxy TCP, qui redirige le trafic vers le serveur ssh. A vrai dire, cela pourrait être n'importe quel service, cela redirige le trafic d'un port vers un autre.
Techniquement, le serveur proxy est superflu, le serveur web pourrait changer les règles du firewall (en utilisant tout simplement ipset). Mais il permet une mise en route rapide (sans toucher quoi que ce soit au firewall) et il permet de savoir qui est connecté sur le port à partir de l'interface web.
L'inconvénient est que ssh voit l'IP du proxy, et donc les commandes comme "last" afficheront l'IP du proxy. Personnellement, c'est un inconvénient qui ne me dérange pas.
# Contrôle d'accès du port
Posté par Thrillseeker . En réponse au message Nombre de connexions SSH malveillantes à un serveur. Évalué à 2.
Depuis la backdoor sur openssh (journal) il est hors de question que le port ssh soit accessible librement sur Internet.
Dans mon cas, j'avais pensé à mettre en place le port-knocking évoqué plus haut, puis j'ai vu que cela allait être chiant pour la partie client. Même chose pour la mise en place d'un VPN pour uniquement l'accès SSH. Donc j'utilise un serveur web et un serveur proxy.
Le serveur web (en https bien sûr, et sécurisé par un mot de passe), permet d'autoriser l'IP actuelle.
Le serveur proxy est un proxy TCP, qui redirige le trafic vers le serveur ssh. A vrai dire, cela pourrait être n'importe quel service, cela redirige le trafic d'un port vers un autre.
Techniquement, le serveur proxy est superflu, le serveur web pourrait changer les règles du firewall (en utilisant tout simplement ipset). Mais il permet une mise en route rapide (sans toucher quoi que ce soit au firewall) et il permet de savoir qui est connecté sur le port à partir de l'interface web.
L'inconvénient est que ssh voit l'IP du proxy, et donc les commandes comme "last" afficheront l'IP du proxy. Personnellement, c'est un inconvénient qui ne me dérange pas.