Ssh et fingerprint

bonjour
c’est pas une post réservé à debien mais comme il y a des admin réseaux j’en profite.
Voilà j’ai un dédié, je suis tout content, je peux enfin me la raconter… oui enfin presque !
Le problème c’est comment on fait après l’installation pour la toute première connexion ssh?
user@ ip puis le mot de passe ca coule de (open)source. Mais le serveur est encore inconnu alors ssh nous montre la clé que le serveur affiche hors à ce stade là on choisit yes pour se connecter mais impossible de savoir si on est victime d’une attaque par man in the middle.

Je trouve pas la solution, il y a une solution pour sécuriser la toute première connexion ou bien est ce que je dois admettre que mon serveur seras là où je fais la première connection (que ce soit un vrai serveur, ou un serveur pirate)

je sais pas si je suis très clair.
comment vérifier la toute première connexion ssh?

si rien ne t’es proposé pour voir les signatures des clés hosts ssh, tu ne peux pas faire grand chose à priori, à part faire confiance…

pas forcément, la connexion ssh par user/mdp est considérée comme obsolète, il est fortement conseillé d’utiliser des clés publiques/privées pour avoir une vraie sécurité.

une mine d’info pour bien configurer ssh : wiki.mozilla.org/Security/Guidelines/OpenSSH

arf

et si je demande une connexion kvm, ca change quelque chose?

Salut,

Clair, pas vraiment.

Commences par nous donner de plus ample information sur ton dédié, le fournisseur par exemple.

Les services ssh doivent être installés en local et sur le dédié.

C’est-à-dire ?

Via une clef asymétrique (clef publique).

Je n’ai rien compris.

ok je reprends.

J’ai commandé une dedibox de chez online.net
j’ai lancer l’installation par l’interface d’administration
j’ai donc le mot de passe admin, le nom du serveur, le nom user et le mot de passe user que j’ai choisi.

Tout va bien, prochaine étape me connecter au serveur pour le configurer mais je réalise qu’il y a un problème.
Je fait

et forcément là j’ai un message qui me dit que

[quote]The authenticity of host ‘********************’ can’t be established.
ECDSA key fingerprint is ************************************.
Are you sure you want to continue connecting (yes/no)? no
Host key verification failed.[/quote]

question… je fait quoi pour être sûr de ne pas être victime d’une attaque de type man in the middle?

je réalise que c’est vraiment un point de sécurité critique parce que toutes les données qui seront stockées ou qui transiteront via le serveur admetteront que cette toute première connexion est sûre. Et si c’est pas le cas, rien de ce que je ferais ensuite ne sera sûr ^^

ps: j’ai aussi l’adresse mac du serveur et la possibilité de demander un accès kvm sur ip via iDRAC documentation.online.net/fr/serv … kvm-sur-ip

Je ne connais pas à proprement dit online.
Une installation fraîche (quelques heures) ?
Je ne pense pas que les grands méchants à l’orée du bois soient aux aguets d’un nouveau serveur (vide, si je puis dire).
Quand bien même, j’imagine qu’online sont eux aussi dotés d’un mode rescue, qui te mettra à l’abri durant toutes tes config.

Et c’est là que ca devient amusant !

je cite ce qui est dit sur le mode rescue

[quote]Le système rescue Dedibox vous permet de démarrer votre dedibox sur un système d’exploitation en réseau afin de procéder à des opérations de maintenance ou de récupération de données même si votre disque dur est hors d’usage.
[/quote]

mais c’est le même problème, ils fournissent une ip et un mot depasse pour qu’on s’y connecte via notre user en ssh !!!

j’ai la possibilité de demandé un accès kvm je sais pas si ca change quelque chose.

[quote]Une installation fraîche (quelques heures) ?
Je ne pense pas que les grands méchants à l’orée du bois soient aux aguets d’un nouveau serveur (vide, si je puis dire).[/quote]
par contre, malgré que t’es infiniment plus calé que moi je te contredirais sur ce point, quand j’étais chez ovh en vps, j’étais sans arrêt victime de brute force, c’est vraiment constant. Même un serveur vide est utile et je dirais même plus qu’il est encore plus utile, tu peux y mettre toute sorte de paquets espion et l’admin va juste considérer les réglages qu’il trouve comme étant par défaut mais aussi et surtout c’est une aubaine pour squatter et y installer un warez pour le darknet lancer d’autres attaques sur des plus gros serveurs hébergé dans le même datacenter etc…(je suis pas expert en sécurité)
le ticket que j’ai lancé chez online.net me dit qu’il n’y a pas de problème (d’un autre côté dans les CGV j’accepte la possibilité de mauvaises manipulation de la part de online.net… :/)
donc jpense que je vais juste me connecter, mais quand j’aurais des données confidentielles faudra que je trouve une solution et réinstalle ou alors que je m’héberge moi-même…
kvm peut régler quelque chose ou bien c’est le même problème?

documentation.online.net

[quote]Mode secours Linux

Pour vous connecter sur votre serveur en mode rescue Ubuntu :

Utilisez SSH sur l'adresse IP de votre Dedibox
[b][u]En cas d'avertissement de sécurité[/u] concernant l'identification SSH du serveur, [u]acceptez[/u][/b].
Utilisez le login ainsi que le mot de passe indiqués par la console Dedibox après le lancement du système de secours. A noter que celui ci met typiquement deux minutes à s'initialiser.

Une fois entré dans le système, vous pouvez effectuer tout ce que vous pourriez faire …[/quote]
Mise en place d’une clef ssh asymétrique, par exemple.

OpenSSH_introduction.

ok je te remercie, donc pas la peine de chercher de midi à 14h je n’ai pas le choix ^^

par contre j’aimerais bien savoir si c’est pareil chez tous les hébergeur de dédié?

ah pour l’authentification par clé publique, je suis obligé de me connecter au serveur pour l’installer ou je peux m’authentifier par clé publique dès maintenant?

Cela fait cinq ou six ans que je suis chez Ovh (Notes: aucune intrusion réussie), j’ai dû avoir recours au [mono]mode rescue[/mono] une bonne cinquantaine de fois durant les six premiers mois et depuis tout ce temps, deux fois.
Et si je ne m’abuse, tu est le seul qui puisses accéder au serveur durant le reboot (demandé) en [mono]mode rescue[/mono]. Ton serveur n’est pas visible/accessible au reste du monde, en dehors de ton fournisseur et toi.

Oui.

Passes en mode rescue et suis le tuto que je t’indique ci-plus haut.
Reviens si tu as d’autres questions.

ok je te remercie de ton retour rassurant.
Perso pour moi c’était jamais possible de savoir si un bruteforce avait réussi vu ma maigre maitrise de debian.
c’est vrai qu’en mode rescue le ssh n’est pas acessible via root, c’est une aubaine le temps de sécuriser le serveur je te remercie

par contre “pas visible” vu que je m’y connecte en ssh il doit forcément être visible sur le port du ssh…donc techniquement ca ne doit pas empêcher des gens de tenter de bruteforce root@ip et faire MITM ^^ mais bon j’arrête le mode parano puisque j’ai pas le choix ^^

[quote=“vger”]
c’est vrai qu’en mode rescue le ssh n’est pas acessible via root, c’est une aubaine le temps de sécuriser le serveur je te remercie

par contre “pas visible” vu que je m’y connecte en ssh il doit forcément être visible sur le port du ssh…donc [strike]techniquement ca ne doit pas empêcher des gens de tenter de bruteforce root@ip et faire MITM[/strike] ^^ mais bon j’arrête le mode parano puisque [strike]j’ai pas le choix[/strike] ^^[/quote]

En général, le « mode rescue » ou « failsafe » ou « sans échec » se nomme « single user » sous Linux, car c’est un mode de démarrage de Linux qui ne permet qu’à l’utilisateur root (l’administrateur) de se connecter, afin de faire de la maintenance/réparations.

Un [strike]détail[/strike], en mode rescue, ton système de fichier n’est pas monté. Je te laisse cogiter là-dessus.

mount /dev/sdXY /mnt/ etc ...
Cette étape reste à ta charge.

d’accord,

par contre c’est pas pour insister, mais c’est juste pour combler une lacune de compréhension.
Quand je me connecte au single user via ssh
en fait ma connexion continue de se comporter comme une connexion ssh normale, le flux d’information traverse des routeurs appartenant à divers FAI jusqu’à arriver au serveur.
Par contre l’attaque MITM n’a pas lieu sur le serveur en lui-même, donc que je me connecte en single user ou pas, la faiblesse de la connexion entre chez moi et le datacenter online.net reste la même.
Donc en quoi ce serait impossible qu’un pirate localiser à tel ou tel noeud d’internet me fasse croire qu’il est mon serveur et se charge de faire l’intermédiaire entre moi et mon serveur?

entre les réponses d’ici et d’online.net je pense comprendre que ce genre d’attaque est inhabituelle et poussée, mais dans la théorie passer en moderescue ne fait qu’“éteindre” le serveur en lui même mais si nous on peut rentrer dedans, d’autre le peuvent?

une ip essais de me bruteforce mon root (désactivé ouf)
le truc c’est que j’arrive pas à comprendre la logique
il tente à chaque fois 3 mot de passe sur des ports différents…
a moins d’avoir des milliers d’années devant lui je vois pas l’utilité
en plus je vois plein de port différent mais il a jamais essayé le port 22
c’est moi ou c’est vraiment une tentative désespérée?

Tu es vraiment en mode parano …

[mono]mode rescue[/mono] ?

Les systèmes de fichiers (ext4) et périphériques spéciaux (/dev/…) sont-ils montés (comment ?) ?
Si oui, que disent les logs en [mono]/var/log/auth.log[/mono] [mono]/var/log/auth.log.1[/mono]
[mono]fail2ban[/mono] est-il installé ?
Un pare feu ?
As-tu mis en place une clef ssh ?
Etc, …
Les portes du net te sont grandes ouvertes …

en fait c’est pas un mode rescue,
c’est un live ubuntu… ^^

je vais faire tout ce que tu m’a dit
clef_ssh
fail2ban
pare feu,

j’ai même trouvé des indic pour faire du port knocking pour l’accès ssh
si ca ne coute rien autant le faire.

Par contre je veux, et il faut absolument que je désactive l’accès au ssh pour les ip non Française. Je ne vois pas comment le faire, il semblerait que je puisse passer par iptable (qui ralentirait la config) ou bien par un programme à installer.
Je devrais choisir quel moyen?

en fait pour récapituler donc, à la suite de l’installation d’un serveur, histoire de le sécuriser de manière non parano
il suffit de configurer ssh
changer de mot de passer
installer sudo et autoriser l’utilisateur
configurer le parefeu
installer fail2ban
et donc tout ca pour l’OS en lui-même (sans prendre en compte les serveurs web, ftp etc que j’installerais)
c’est suffisant?

[quote=“vger”]en fait c’est pas un mode rescue,
c’est un live ubuntu… ^^[/quote]

Hein ?!
Toi le particulier (client), tu boot sur un live-dvd depuis un serveur en location chez online.net, c’est une plaisanterie, je rêve là, mdr …

[quote=“vger”]Voilà j’ai un dédié
J’ai commandé une dedibox de chez online.net
j’ai lancer l’installation par l’interface d’administration[/quote]

c’est pas totalement ca. Je ne suis pas à l’aise avec linux mais je te garanti que je n’ai pas accès au single usermode j’ai plutôt le choix entre différente version d’ubuntu pour le mode rescue et quand je suis connecté en ssh je vois un message comme quoi j’ai bien booté depuis un live cd.
En fait je boot “depuis” un OS sur le réseau.
je crois que c’était la manière de dire d’online.net

c’est aussi pour ca qu’online.net précise que le mode rescue est réservé à l’accès et à la modification de fichier quand c’est impossible d’utiliser ssh.

ensuite pour comprendre comment ce système est mis en place, je suis incapable, mais oui techniquement parlant je boot sur un live cd chez mon hébergeur pour mon mode “rescue”

Mes plates excuses. ^¿^

Système Rescue

[quote=“online”]Les KVM sur IP

Le KVM sur IP est un service inclus avec toutes nos offres, sans supplément de prix.

Tous les serveurs de la gamme actuelle (sauf SC) sont équipés d’un KVM sur IP dédié et accessible depuis la console de gestion.

Pour plus d’informations, consulter la documentation sur les KVM sur IP.

Le système rescue

Le système “Rescue” est un mini-système d’exploitation booté à la demande en réseau sur votre Dedibox basé sur :

[mono]une distribution live ubuntu minimal
ou une distribution live Windows PE[/mono]

Si votre serveur ne démarre plus et que vous avez besoin de modifier des fichiers pour corriger le problème, le système rescue vous permettra de corriger le problème.

Pour plus d’informations, consulter la documentation sur le système rescue. [/quote]

ca veut dire quoi ca?

c’est grave docteur???

edit

c’est vraiment étrange… le monde de l’informatique