[Resolu] Besoin de conseils de sécurité pour accès SSH

:030

On ne fait plus d’export DISPLAY avec ssh mais plutôt ssh -X …
Cherches un peu sur le forum, on en a déjà parlé plusieurs fois

:083

Il y a un truc qui me chagrine: tu es certain, bêtement que ta freebox est en adresse dynamique ?
Parceque je suis à peu prés persuadé du contraire, et qu’elles ont une adresse statique.
Sinon, indépendament de ça, tu connais dyndns ? dyndns.biz
Sous debian, le paquet ddclient permet de l’utiliser.

:114

dyndns a aussi des domaines en .biz

:033

Je suis en dégroupé partiel et mon ip est fixe.

Tu peux trouver la tienne sur “infos techniques de votre ligne” chez free après t’être identifié avec tes coordonnées ADSL.

ou tu vas sur n’importe quel site qui teste la sécurité de ta machine et il te donnera tt de suite ton ip

ou tu écris une page en php qui affiche la variable $_SERVER[‘REMOTE_USER’] et tu te connectes à cette page via le web

ou tu vas sur un fil de discussion où un utilisateur a dans sa signature une pancarte avec marqué :“Votre ip est … vous utilisez cet OS … avec ce navigateur …” Je l’ai déjà vu (ici peut-être)

ou tu demandes une commande shell pour t’afficher ton ip public à qqn de très fort (y’en a ici)

:slightly_smiling:

:033

:007

faq.free.fr/adsl/4/8/3/2

Si tu es bien en dégroupé avec une ip variable, tu es dans une situation rare…

Sinon :

Pourrais-tu me donner ta commande shell pour que je teste chez moi ? Merci

:033

Oui merci ça marche mais c’est un site qui teste ton ip si je ne m’abuse ? A moins que tu aies mis toi-même en ligne un script ?

Pour ton script je te conseille de le placer dans ~ ou dans /usr/local/bin pour ne pas qu’il interfère avec les exécutables propres à Debian.

Je ne connais pas les services de redirection d’ip de dydns mais il me semble que tu prends le problème à l’envers.

C’est à toi de faire un update, sur leurs serveurs, de cette redirection à chaque fois que tu changes d’IP.

Perso, j’utilise prout.be (si, si! ça ne s’invente pas! J’imagine que c’est un acronyme pour p-router ou quelque-chose comme ça)
prout.be/dns/

Tu peux faire l’update en invoquant une page (php) avec ton mot de passe en variable GET. Ensuite, par cron tu mets à jour. Voici ma tâche cron pour l’exemple:

Voir la page d’aide prout.be/dns/?p=help
Dyndns le permet peut-être également, je n’ai pas trop cherché.

Tu appelles ensuite ton serveur interne simplement avec un:

ssh toi@ton_domaine.prout.be(oui, je sais, c’est ridicule ce nom mais tu seras le seul à l’utiliser non? On ne dira rien, promis) :wink:

Tu peux ensuite tester ce qu’on voit de ton réseau, de l’extérieur, avec nmap:

nmap ton_domaine.prout.be(beaucoup d’options possibles, mais ceci devrait le faire)

Côté sécurité tu devrais configurer sshd.conf

[code]# Authentication (tu ne laisses que 10 s. pour le login):
LoginGraceTime 10

désactive le login par root et limite l’accès au seul user: toi

AllowUsers toi
PermitRootLogin no
[/code]

Voir aussi ce post récent:
forum.debian-fr.org/viewtopic.php?p=25202#25202

ripat: anthropo ne VEUT PAS de systeme de redirecteur. c’est un choix qui lui complique la vie et que je ne comprends pas, mais c’est son choix.
Ta réponse est donc hors sujet…

:033

tu connais un peu iptables ?iptables -A INPUT -p tcp -m tcp --dport 22 -j LOG --log-prefix "[ICI]" va produire un log des paquets sur le port 22 dans /var/log/messages, tu pourras voir si les paquets arrivent.
Au fait, que donne iptables-save ?

:arrow_right:

quote="Anthropo"Normal, je l’ai dégagé de la config de mon kernel, donc a priori c’est pas lui qui bloques, puisqu’il n’est pas fonctionnel?[/quote]xact. c’est pas ça, donc. :smt090