J’avais oublié de répondre à cette question. Non, tu n’as pas de *Box. Tu dois posséder ton propre matériel. Il a été pendant un temps question de la création d’une sorte de FDNBox, je ne sais pas où ça en est.
Oui, ce qui me manquerait le plus, c’est surtout le phone gratos.
Mon fils aîné est en poste à Shanghai 
Pi la TV, des fois, quand la TNT est en panne et c’est assez fréquent chez nous.
Des fois aussi, j’enregistre en même temps sur le Storex du salon et sur la BoxHD, 2 émissions différentes, pendant qu’on en regarde en direct une troisième.
Je crois que je vais rester encore chez Free 
[quote=“antalgeek”]@ricardo : si tu veux planquer ton port ssh faut pas le mettre si bas, un scan de port basique le voit, donc le faire apparaître sur le forum n’est pas grave. Je te l’ai déjà dit : envoie le port plus haut, vers l’infini et au delà.
Dans tous les cas dès qu’il n’est pas sur le port 22 tu limites très fortement les attaques en force brute, faut pas croire que les kiddies scripts vont venir se renseigner sur le forum pour avoir ton port ssh 
.[/quote]
Qu’entends-tu par plus haut et pourquoi c’est mieux ?
J’avais suivi le conseil de ??? qui préconisait > 1024 comme port non habituel 
Oui, je le sais et j’avais prévenu. Ce n’est pas pressé, rien n’est définitif.
Merci quand même de l’observ.
Salut,
[quote=“ricardo”][quote=“antalgeek”]@ricardo : si tu veux planquer ton port ssh faut pas le mettre si bas, un scan de port basique le voit, donc le faire apparaître sur le forum n’est pas grave. Je te l’ai déjà dit : envoie le port plus haut, vers l’infini et au delà.
Dans tous les cas dès qu’il n’est pas sur le port 22 tu limites très fortement les attaques en force brute, faut pas croire que les kiddies scripts vont venir se renseigner sur le forum pour avoir ton port ssh .[/quote]
Qu’entends-tu par plus haut et pourquoi c’est mieux ?
J’avais suivi le conseil de ??? qui préconisait > 1024 comme port non habituel [/quote]
Généralement, les petits malins commencent à scanner les 1000 premiers ports. Scanner l’ensemble de la plage des ports juqu’au bout prend trop de temps
Commande “classique”
Je lance sur une de mes machines (pas de pare-feu) port ssh déporté sur un port élevé.
[code]nmap -v -sS -O 192.168.0.17
Starting Nmap 5.00 ( http://nmap.org ) at 2010-07-20 07:56 EAT
NSE: Loaded 0 scripts for scanning.
Initiating ARP Ping Scan at 07:56
Scanning 192.168.0.17 [1 port]
Completed ARP Ping Scan at 07:56, 0.04s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 07:56
Completed Parallel DNS resolution of 1 host. at 07:56, 0.62s elapsed
Initiating SYN Stealth Scan at 07:56
Scanning 192.168.0.17 [1000 ports]
Discovered open port 445/tcp on 192.168.0.17
Discovered open port 443/tcp on 192.168.0.17
Discovered open port 139/tcp on 192.168.0.17
Discovered open port 80/tcp on 192.168.0.17
Discovered open port 2049/tcp on 192.168.0.17
Discovered open port 9999/tcp on 192.168.0.17
Discovered open port 8080/tcp on 192.168.0.17
Discovered open port 111/tcp on 192.168.0.17
Completed SYN Stealth Scan at 07:56, 1.18s elapsed (1000 total ports)
Initiating OS detection (try #1) against 192.168.0.17
Host 192.168.0.17 is up (0.00016s latency).
Interesting ports on 192.168.0.17:
Not shown: 992 closed ports
PORT STATE SERVICE
80/tcp open http
111/tcp open rpcbind
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
2049/tcp open nfs
8080/tcp open http-proxy
9999/tcp open abyss
MAC Address: 00:13:74:00:5C:38 (Atheros Communications)
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.13 - 2.6.27
Uptime guess: 0.078 days (since Tue Jul 20 06:04:49 2010)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=201 (Good luck!)
IP ID Sequence Generation: All zeros
Read data files from: /usr/share/nmap
OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 3.88 seconds
Raw packets sent: 1027 (45.948KB) | Rcvd: 1016 (41.384KB)[/code]
nmap n’a pas trouvé mon ssh ! Le port choisi est élevé bien au dessus de 10.000 
Bien sur il a trouvé le reste en quelques secondes (nfs, samba, http…)
Re,
Petit complément:
Si je choisi le port 22 >
22/tcp open ssh
Il le trouve
Si je choisi le port 1024 >
1024/tcp open kdm
Il le trouve, mais ne sais pas que c’est ssh, c’est déjà mieux. Mais il le voit quand même, et ouvert…
De toute manière ce qu’il faut c’est qu’il configure le port knotting ou mieux un VPN 
Tu peux me traduire ce Chinois, pour un pov’ mec qui ne comprend que le FR ?
En plus, il voulait écrire Knocking et non knotting
Je crois que c’est une technique qui est employée pour protéger le port 22 mais après…je laisse la plume aux pros!!
Personnellement je laisse le port 22 par défaut pour SSH, une sécurité basée sur l’obscurité n’est pas suffisante. Y’a du bruteforce oui, mais avec une authentification par clé avec passphrase + Fail2Ban qui bannit l’IP 10min au premier échec de connexion, il n’y a aucun problème AHMA.
Le port knocking c’est un digicode : tu ouvres un port si tu as reçu des requêtes sur d’autres ports, dans l’ordre de préférence.
[quote=“M3t4linux”]En plus, il voulait écrire Knocking et non knotting
Je crois que c’est une technique qui est employée pour protéger le port 22 mais après…je laisse la plume aux pros!![/quote]
Honte sur moi. Me lever trop tôt c’est pas bon…
Plus d’explications, merci !
EDIT :
Ok, j’ai vu qu’il s’agissait d’un paquet à installer.
Je m’adresse à ceux qui s’auto-hébergent et qui emploient comme moi leur Box en mode routeur.
Avez-vous ou n’avez-vous PAS de parefeu sur votre serveur 
[quote=“ricardo”]Plus d’explications, merci !
EDIT :
Ok, j’ai vu qu’il s’agissait d’un paquet à installer.[/quote]
Fail2Ban est juste un démon qui garde un œil sur des fichiers de log, et agit en conséquence si un comportement suspect est détecté. La configuration par défaut est déjà pas mal.
Dans le fichier /etc/fail2ban/jail.conf tu trouveras des valeurs par défaut :
[DEFAULT]
ignoreip = 127.0.0.1
bantime = 600 # En secondes, soit 10min
maxretry = 3 # Nombre de tentatives acceptées avant que Fail2Ban agisse
Et plus bas dans le fichier tu y trouveras la conf pour la surveillance du démon SSH :
[ssh]
enabled = true
port = ssh
filter = sshd # Lui indique que les critères à valider sont dans /etc/fail2ban/filter.d/sshd.conf
logpath = /var/log/auth.log # Le fichier de log à surveiller
maxretry = 2 # Ajout perso, on écrase la valeur par défaut si on le souhaite, qui sera valable uniquement pour SSH dans ce cas
bantime = 604800 # Si tu veux bannir l'IP durant une semaine
[quote=“ricardo”]Je m’adresse à ceux qui s’auto-hébergent et qui emploient comme moi leur Box en mode routeur.
Avez-vous ou n’avez-vous PAS de parefeu sur votre serveur [/quote]
Oui.
Quand j’utilisais la box comme routeur j’avais quelques règles iptables.
A savoir pour les stratégies :
INPUT -> DROP
FORWARD -> DROP
OUTPUT -> ACCEPT
Dans INPUT :
bien sur les ports à laisser passer 22, 80…
des règles de protection anti froce brute basées sur ipt-recent, des règles de log + des bidouilles dans des chaines utilisateur
d’ailleurs ça n’a pas changé depuis que j’ai un routeur autonome
en gros mon routeur (tout comme une box) m’isole d’internet tout en laissant passer ce que je lui demande et sur le serveur j’ai des règles spécifiques pour les services ouverts
[quote=“ricardo”]Je m’adresse à ceux qui s’auto-hébergent et qui emploient comme moi leur Box en mode routeur.
Avez-vous ou n’avez-vous PAS de parefeu sur votre serveur [/quote]
J’utilise simplement le parefeu de ma box et j’ai fail2ban qui tourne en plus sur le serveur. Je n’ai pas vu ce que pourrait m’apporter d’activer le parefeu sur le serveur sachant que j’allais ouvrir les mêmes ports que ceux que je redirige avec la box.
Concernant SSH, j’ai changé le port et interdit la connection à l’utilisateur root.
Ceci dit, je suis peut être dans l’erreur. Pour le moment, je n’ai pas eu de problèmes.
— Fred —
[quote=“ricardo”]Je m’adresse à ceux qui s’auto-hébergent et qui emploient comme moi leur Box en mode routeur.
Avez-vous ou n’avez-vous PAS de parefeu sur votre serveur [/quote]
Je n’ai pas de box mais un PC qui fait office de routeur/pare-feu. Si j’étais seul sur mon Lan, je n’aurais pas de pare-feu supplémentaire.
Comme mon réseau interne est assez ouvert, j’ai installé des pare-feu sur toutes les machines. Je ne suis pas sur que j’en ai vraiment besoin, mais c’est un bon entrainement…
[quote=“ricardo”]Je m’adresse à ceux qui s’auto-hébergent et qui emploient comme moi leur Box en mode routeur.
Avez-vous ou n’avez-vous PAS de parefeu sur votre serveur [/quote]
Je n’ai pas de parefeu mais je n’ai pas non plus un serveur qui fait tout, seulement http et mon routeur permet de filtrer pour chaque prise séparément.