Dans le même ordre d'idée, on peut faire encore plus sympa (enfin, je trouve):
- Le client envoie un paquet TCP SYN qui contient des valeurs particulières sur le port 80 du serveur.
- En recevant ce paquet particulier, le serveur lance sshd sur un port précis.
- Le client lance une session ssh sur ce port précis.
- A la fin de la session, le serveur arrête sshd.
Avantages:
- le port 22 n'est pas en écoute sur le serveur, et sans connaître les caractéristiques du paquet qui "réveille" sshd, impossible de se douter que l'on peut se connecter au serveur en ssh.
- c'est plus simple que "ping 3 fois, connection sur port x, ping 2 fois, sauter sur un pied, etc"
[^] # Re: Lancer tout le temps ssh ?
Posté par mitro2 . En réponse au journal Mais quels sont ces polonais qui ssh sur vos têtes ?. Évalué à 0.
- Le client envoie un paquet TCP SYN qui contient des valeurs particulières sur le port 80 du serveur.
- En recevant ce paquet particulier, le serveur lance sshd sur un port précis.
- Le client lance une session ssh sur ce port précis.
- A la fin de la session, le serveur arrête sshd.
Avantages:
- le port 22 n'est pas en écoute sur le serveur, et sans connaître les caractéristiques du paquet qui "réveille" sshd, impossible de se douter que l'on peut se connecter au serveur en ssh.
- c'est plus simple que "ping 3 fois, connection sur port x, ping 2 fois, sauter sur un pied, etc"
La bonne nouvelle est qu'on peut faire ça tout simplement avec un petit script en perl, tout est expliqué ici:
http://www.hsc.fr/ressources/breves/secretssh.html.fr(...)
L'auteur du journal éviterait ainsi de chercher à "dropifier" des réseaux entiers et de trembler à l'idée que son sshd se fait harceler sans arrêt.