[gull] Abus réseaux

[Marc SCHAEFER]

Bonjourm

On Sun, Aug 18, 2024 at 06:59:21PM +0200, Marc SCHAEFER via gull wrote:
> Votre machine est souvent attaquée?

Suite à quelques questions hors liste, voici quelques recommandations
s'il vous faut du SSH ouvert à Internet:

   - vous pourriez mettre votre SSH sur un autre port que 22, mais
     dans mon expérience en 5 à 6 semaines vous serez découvert

   - n'arrivez-vous pas à restreindre avec une liste blanche?

   - limitez cela à un seul host (bastion), et tous les autres
     serveurs SSH n'acceptent des connexions que de lui; ça peut être
     un conteneur hetzner à 6 EUR/mois; avec ssh -o ProxyCommand=...
     il est facile de passer par le bastion host SANS lui donner
     votre mot de passe et SANS le mode agent de SSH (qui lui donne
     l'autorisation de signer avec votre clé privée)

   - utilisez un VPN (sur votre conteneur à adresse IP publique, ou
     évt. un service VPN), p.ex. OpenVPN, wireguard, etc.

   - utilisez un knockd: il faut faire 3 telnet sur les ports XXXXX,
     YYYYY, et ZZZZZ, de préference non ordonnés, et ça ouvre pour 5
     minute SSH sur le port AAAA) -- en dehors des 5 minutes l'ensemble
     de ces ports répondent comme des ports non desservis

   - bloquez rapidement avec fail2ban dès 1 essai infructueux
     (attention au DoS si vous ne vous connectez pas par clé privée)

   - ajoutez un deuxième facteur d'authentification avec le module
     PAM pam_google_authenticator.so

   - logcheck pour voir vos logs

Et bien sûr maintenez vos systèmes à jour (shodan.io a des outils
pour trouver des versions vulnérables).