[gull] Abus réseaux
Marc SCHAEFER
schaefer at alphanet.ch
Mon Aug 19 11:48:18 CEST 2024
Bonjourm
On Sun, Aug 18, 2024 at 06:59:21PM +0200, Marc SCHAEFER via gull wrote:
> Votre machine est souvent attaquée?
Suite à quelques questions hors liste, voici quelques recommandations
s'il vous faut du SSH ouvert à Internet:
- vous pourriez mettre votre SSH sur un autre port que 22, mais
dans mon expérience en 5 à 6 semaines vous serez découvert
- n'arrivez-vous pas à restreindre avec une liste blanche?
- limitez cela à un seul host (bastion), et tous les autres
serveurs SSH n'acceptent des connexions que de lui; ça peut être
un conteneur hetzner à 6 EUR/mois; avec ssh -o ProxyCommand=...
il est facile de passer par le bastion host SANS lui donner
votre mot de passe et SANS le mode agent de SSH (qui lui donne
l'autorisation de signer avec votre clé privée)
- utilisez un VPN (sur votre conteneur à adresse IP publique, ou
évt. un service VPN), p.ex. OpenVPN, wireguard, etc.
- utilisez un knockd: il faut faire 3 telnet sur les ports XXXXX,
YYYYY, et ZZZZZ, de préference non ordonnés, et ça ouvre pour 5
minute SSH sur le port AAAA) -- en dehors des 5 minutes l'ensemble
de ces ports répondent comme des ports non desservis
- bloquez rapidement avec fail2ban dès 1 essai infructueux
(attention au DoS si vous ne vous connectez pas par clé privée)
- ajoutez un deuxième facteur d'authentification avec le module
PAM pam_google_authenticator.so
- logcheck pour voir vos logs
Et bien sûr maintenez vos systèmes à jour (shodan.io a des outils
pour trouver des versions vulnérables).
More information about the gull
mailing list