[gull] Tentative

[Félix Hauri]

On Thu, Dec 30, 2004 at 12:26:32AM +0100, Anne Possoz wrote:
> Je suppose que c'est parce que je suis devenue de plus en plus
> suspicieuse et que j'empile les sécurités:
>  - firewall sur le routeur (mais qui laisse passer ssh)
>  - firewall sur la machine
>  - xinetd (hosts.allow et hosts.deny)
>  - mots de passe sérieux

Empiler des firewalls n'est pas forcement très utile, à plus forte raison
s'il sont de facture comparable.

Tu pourrais ajouter à cela
 - le déplacement du port ssh (Il s'agit de ``protection par l'obscurité'', 
        peu fiable par définition, mais cela fait déjà bcp pour les attaques dont 
        il est question sur ce thread.)
 - mieux: le ``port-knocking'', Le port ne s'ouvre qu'après une demande valide,
        formulée sur un port ``discret'' (ex: udp 53) ou ``anodin'' (ex: tcp 443).
 - changement régulier des mots de passes sensibles,
 - mieux: Comme discuté dans une autre branche de ce thread: N'autoriser QUE les
        accès par echange de clefs et protéger ces dernières avec des phrases de
	passe (sérieuses;).
 - Changer les clefs occasionnellement.

Sans compter la surveillance des logs, des annonces de failles, etc;)

Bonne et heureuse année 2005!

-- 
 Félix Hauri  -  <felix at f-hauri.ch>  -  http://www.f-hauri.ch