La meilleur protection contre le brute-force SSH...

- Unix

Après quasiment 8 mois d'existence, la SheevaBoite utilisait toujours le port 22 qui le port par défaut pour la connexion en SSH. Ayant très rapidement remarqué dans les logs que des petits malins essayaient de se connecter sur ce port, j'ai immédiatement mis en place une solution de black-listing pour les personnes qui échouent plus de 3 fois.
Après presque 3 semaines avec cette petite modification de la configuration, je suis plus que satisfait...

Qu'ai-je donc fait ?

Vous pourrez dire "noob" une fois l'explication terminée, mais j'ai tout simplement utilisé la fonction de routage de la Freebox. Je redirige le port XXXX vers le port XXXX sur la Sheevaboite.
Pourquoi les deux ports sont différents ? J'en sais rien, peut être parce que je deviens parano.

Pourquoi ne pas l'avoir fait avant ?

Tout simplement parce que mon ancien employeur n'ouvrait pas tous les ports en sortie et parce que les quelques essais que j'avais fait au lancement s'étaient avérés infructueux. Du coup, j'ai oublié de changer les ports avec le temps et je n'y ai repensé que dernièrement.

En conclusion

Changer le port du service SSH est extrêmement rapide et le retour sur le temps investi est excellent. C'est clairement devenu un soucis en moins...
Mais ce n'est pas parce que j'ai changé le port que je me crois invicible, je conserve le service fail2ban dans le cas où quelqu'un découvre le port de mon service SSH. Deux protections valent mieux qu'une !

PS : J'ai également découvert pendant mes tests qu'il était maintenant possible de modifier la configuration du routage de la Freebox V6 sans devoir la redémarrer...

Partager sur Twitter