[gull] Tentative
Félix Hauri
felix at f-hauri.ch
Fri Dec 31 02:36:02 CET 2004
On Thu, Dec 30, 2004 at 12:26:32AM +0100, Anne Possoz wrote:
> Je suppose que c'est parce que je suis devenue de plus en plus
> suspicieuse et que j'empile les sécurités:
> - firewall sur le routeur (mais qui laisse passer ssh)
> - firewall sur la machine
> - xinetd (hosts.allow et hosts.deny)
> - mots de passe sérieux
Empiler des firewalls n'est pas forcement très utile, à plus forte raison
s'il sont de facture comparable.
Tu pourrais ajouter à cela
- le déplacement du port ssh (Il s'agit de ``protection par l'obscurité'',
peu fiable par définition, mais cela fait déjà bcp pour les attaques dont
il est question sur ce thread.)
- mieux: le ``port-knocking'', Le port ne s'ouvre qu'après une demande valide,
formulée sur un port ``discret'' (ex: udp 53) ou ``anodin'' (ex: tcp 443).
- changement régulier des mots de passes sensibles,
- mieux: Comme discuté dans une autre branche de ce thread: N'autoriser QUE les
accès par echange de clefs et protéger ces dernières avec des phrases de
passe (sérieuses;).
- Changer les clefs occasionnellement.
Sans compter la surveillance des logs, des annonces de failles, etc;)
Bonne et heureuse année 2005!
--
Félix Hauri - <felix at f-hauri.ch> - http://www.f-hauri.ch
More information about the gull
mailing list