ssh + ip dynamique - Linux et OS Alternatifs
Marsh Posté le 22-12-2003 à 19:14:33
tu te fait chier pour rien..
Si tu veut faire "secure" tu met un autre port que celui par défaut (22), et tu n'autorise les logins ssh qu'avec une clé privée + password, ca sera déjà pas mal
Marsh Posté le 22-12-2003 à 19:31:47
tu m' as décourager d' un coup, j' avais trouvé une bonne occupation pour ce soir
sinon j' utilise deja les clés + passphrase, jamais trop prudent...
bon d autres avis ?
Marsh Posté le 22-12-2003 à 20:06:24
Ekxon a écrit : tu m' as décourager d' un coup, j' avais trouvé une bonne occupation pour ce soir |
J'ai monté un truc dans le genre pour un pote. Cependant, la méthode est différente:
- l'ordinateur distant de mon pote utilise dyndns.
- périodiquement, je résoud l'IP du hostname sous dyndns.
- dès que l'IP change, je modifie la règle du firewall.
- si l'hote se déconnecte, l'accès est immédiatement fermé.
Le shell est blindé dans tous les sens niveau sécurité, et tourne sur OpenBSD (pas d'iptables donc, mais une table dynamique d'ip gérée avec pfctl).
Marsh Posté le 22-12-2003 à 20:21:28
conti a écrit : |
tu pourrais juste détaillé ce point ?
c'est a dire si par exemple , il se déco du ssh pour se reconnecter (on sait jamais un exit mis au hasard ) il trouvera porte close ? c'est un peu limité non ?
Marsh Posté le 22-12-2003 à 20:26:21
Si l'hôte se déconnecte (d'internet, pas de SSH), tu n'arrives plus à pinger l'hôte distant, que ce soit par sa dernière IP ou par son hostname dyndns. A partir de ce moment, tu vires l'IP des règles du firewall: tu coupes l'accès, et ce jusqu'à ce que le hostname dyndns réapparaisse. La "réactivité" du système dépend de la fréquence à laquelle tu teste la présence de l'hôte distant.
Le fait que l'hôte distant ferme sa session SSH n'intervient pas: ce qui compte est sa présence sur internet.
Marsh Posté le 22-12-2003 à 20:29:10
oki donc c'est bien ce que je pensais .
j'avais cru comprendre que tu parlais de ssh & je trouvais alors cela stupide
ceci dit tester la présence sur un ping est ma fois limite :
si pour une raison x l'imcp est filtré comme un porc par un goret cela merde la .
enfin c'est mieux que rien ( & vive l'ip fixe il n'y a pas a dire que c'est le _bien_ n'en déplaise aux parano )
Marsh Posté le 22-12-2003 à 20:30:34
Mikala a écrit : oki donc c'est bien ce que je pensais . |
Ah mais je vais pas de truc stupide moi!
Marsh Posté le 22-12-2003 à 20:32:52
t'es sous openbsd
(c'était surtout pour voir l'édit plus haut en fait )
Marsh Posté le 22-12-2003 à 20:40:26
ouai d' accord comme ca en effet ce serait plus simple mais disons que je peux pas utiliser dyndns ou autre j' ai seulement une ip je suis obligé d' intervenir moi meme
quelque part pour ouvrir l acces enfin d' une facon ou d' une autre je peux pas prevoir.
Marsh Posté le 22-12-2003 à 20:40:33
Yep. T'as raison. J'ai regardé mon shell (qui date), et effectivement, y'a pas de ping. Le shell fait 4ko, vérifie la conformité de l'IP résolue sur le hostname dyndns, vérifie que cette IP appartient bien au provider habituel de l'hôte distant, loggue les changements d'IP, et impose une limite au nb de changement d'IP de l'hôte distant.
Mais comme tu le dis, Mikala, RIEN NE VAUT UNE IP FIXE! Le mieux étant encore de monter un VPN entre 2 IP fixes. Là, c'est du béton.
Marsh Posté le 22-12-2003 à 20:42:40
Ekxon a écrit : ouai d' accord comme ca en effet ce serait plus simple mais disons que je peux pas utiliser dyndns ou autre j' ai seulement une ip je suis obligé d' intervenir moi meme |
Et pourquoi tu pourrai pas utiliser dyndns? Ce "paliatif" à l'IP fixe peut parfois servir, même si en lui-même, ce système est pas trop sécurisé.
Marsh Posté le 22-12-2003 à 20:42:40
et tant qu'à faire tu le fait en ipv6, vu le peu de monde pour le moment t'es encore + tranquille
Marsh Posté le 22-12-2003 à 20:45:11
void_ppc a écrit : et tant qu'à faire tu le fait en ipv6, vu le peu de monde pour le moment t'es encore + tranquille |
Tout le monde est pas chez Nerim...
Marsh Posté le 22-12-2003 à 20:46:57
void_ppc a écrit : et tant qu'à faire tu le fait en ipv6, vu le peu de monde pour le moment t'es encore + tranquille |
il y a au moins 400 hackeurs potentiels
Marsh Posté le 22-12-2003 à 20:47:00
ReplyMarsh Posté le 22-12-2003 à 20:47:43
Mikala a écrit : |
Mouais, et en plus c'est des méchants ceux-là!!!
Marsh Posté le 22-12-2003 à 20:48:08
conti a écrit : |
ipv6 dynamique ?
tu as un XP derriere avec sa pseudo ip anonyme ?
Marsh Posté le 22-12-2003 à 20:49:16
en même temps avec le bloc d'adresse v6 dispo y a moyen d'en prendre une de derrière les fagots (securité par l'obscurité powa)
Marsh Posté le 22-12-2003 à 20:49:31
conti a écrit : |
oui tu as raison rien ne m' empeche d' utiliser dydns, c' est juste que ca m' interresse de comprendre comment procéder au mieux dans ce cas là .
Marsh Posté le 22-12-2003 à 20:50:59
Ekxon a écrit : |
c'est le mieux dans ton cas
(en partant du principe que le dyndns ne décide pas de merder a un moment & qu'un hackeur se retrouve avec l'ip correspond au dyndns
Marsh Posté le 22-12-2003 à 20:51:00
Mikala a écrit : |
C'est une IPv6 alternative, et non pas fixe!
Bon, on s'égard. Il est où le monsieur avec sa question?
Marsh Posté le 22-12-2003 à 20:52:30
Mikala a écrit : |
Mouais, j'ai pas trop confiance dans dyndns. C'est pour ça que mon shell vérifie au moins que l'IP renvoyée par une résolution du hostname appartient à l'ISP de mon pote... Rhâ! Plus d'un an que j'essaie de le faire passer chez Nerim celui-là!
Marsh Posté le 22-12-2003 à 20:52:42
conti a écrit : |
ne pas répondre...ne pas répondre..
Marsh Posté le 22-12-2003 à 20:54:10
ReplyMarsh Posté le 22-12-2003 à 20:55:35
ReplyMarsh Posté le 22-12-2003 à 20:56:35
ReplyMarsh Posté le 23-12-2003 à 09:26:50
DTCCCCCCCCCCCCCCCC
Marsh Posté le 23-12-2003 à 09:27:07
voila c'est fait, de rien, c'est naturel
Marsh Posté le 24-12-2003 à 02:23:19
Bonsoir à vous,
Juste pour vous remercier les pros. Si si !
En effet, je viens de tester et d'adopter ez-ipupdate avec dyndns. Qu'est-ce que cela va me rendre service ce truc pour administrer à distance par ssh et webmin les amis (et la famille convertie presque de force) pour lesquels j'ai installé GNU/Linux. Je vais tous leur faire utiliser dyndns.
Jusqu'alors, j'avais pensé à un truc du genre /sbin/ifconfig ppp0 | grep inet | cut -d ":" -f 2 | cut -d " " -f 1 puis mail régulier, mais je me disais que cela ferait bien lourd.
Tandis qu'avec ez-ipupdate, c'est simplissime.
Et puis le script ez-ipupdate modifié, me sert aussi pour appeler le script iptables (engendré avec Guarddog) après chaque changement d'ip par le fai.
En effet, en connexion internet par pppd sous Mdk 9.2 (aDSL pppoa), les scripts placés dans /etc/ppp/if-up.d ou dans /etc/sysconfig/network-scripts/ifup.d ne sont bizarrement pas lancés lors de changement d'ip.
Les scripts à ces emplacements ne sont, semble-t-il, efficaces que pour un lancement des interfaces réseau autres que pppx.
Enfin, je suis ravi.
Marsh Posté le 24-12-2003 à 02:26:50
le fichier ip-up (ou if-up ) entraine bien l'execution du repertoire ad hoc ?
sur ma debian que j'ai en passerrelle j'ai ainsi cela dedans
|
Marsh Posté le 24-12-2003 à 02:34:19
mikala a écrit : le fichier ip-up (ou if-up ) entraine bien l'execution du repertoire ad hoc ?
|
Quant j'aurai un peu de temps, je vais regarder de près l'enchaînement des scripts sur Mandrake. Et pour moi, ce n'est pas toujours évident Mais je ne désespère pas de comprendre.
Marsh Posté le 22-12-2003 à 19:02:03
Bon j' aimerais faire un truc dites moi si c' est réalisable, surement, et vers quoi m' orienter pour que soit pas trop complexe à mettre en place sans etre trop simple non plus sinon c pas marrant mais surtout sécurisé
bon je m' explique j' ai un serveur ssh sur ma passerelle dont j' autorise seulement l' accès à un poste sur mon réseau
par default tout est bloqué sur ppp0 pour ssh
j' aimerais autoriser l' accès d' une machine distante qui possède une ip dynamique
moi je pensais à un truc comme ca, le poste sur le lan qui à l acces ssh relève environ toutes les 30 min un fichier contenant une ip sur un ftp, si l' ip == 0.0.0.0 on fait rien.
je suis pas chez moi et j' ai envie de me connecter sur ma passerelle, je modifie l' ip sur le ftp en mettant l' ip du poste ou je me trouve.
le script géré par cron qui opère toutes les 30 min relève le fichier et là
ip =! de 0.0.0.0 modif d' iptables ----> acces ssh
est ce qu il existe deja ce genre de choses a mon avis oui, je vous ecoutes..
et au niveau de mon idée zen pensez quoi bien ? ou complètement con
Ps: biensure qd je suis chez moi je stop le script qui relève l' ip, ca sert a rien.