|
flush
|
Modérateur
Inscrit le : 09/05/2005
|
# Le 13/06/2006 à 20:11
Je suis persuadé que pour généré un ensemble de clé public / privé de faire la commande :
[root@nshp ~]# ssh-keygen -t RSA
unknown key type RSA
Je comprends pas pourquoi il connait pas ce type de clé ?? Quelqu'un a une idée ?
mes softs installés :
[root@nshp ~]# yum list *ssh*
Setting up repositories
Reading repository metadata in from local files
Installed Packages
openssh.i386 4.2p1-fc4.10 installed
openssh-clients.i386 4.2p1-fc4.10 installed
openssh-server.i386 4.2p1-fc4.10 installed
Available Packages
autossh.i386 1.3-2.fc4 extras
fuse-sshfs.i386 1.6-2.fc4 extras
openssh-askpass.i386 4.2p1-fc4.10 updates-released
openssh-askpass-gnome.i386 4.2p1-fc4.10 updates-released
openssh-debuginfo.i386 4.2p1-fc4.10 updates-released
pam_ssh.i386 1.91-9.fc4 extras
pdsh-rcmd-ssh.i386 2.10-4.fc4 extras
perl-Net-SSH.noarch 0.08-3.fc4 extras
perl-Net-SSH-Perl.noarch 1.30-1.fc4 extras
scanssh.i386 2.1-6.fc4 extras
Il me manque quelque chose ? @+ Jean-Philippe |
|
Bool
| Olivier
Modérateur
Inscrit le : 09/05/2005
|
# Le 13/06/2006 à 21:30
essayes en mettant RSA en minuscule 
"man ssh-keygen", c'est bien (tm)
daevel : infogérance et conseil || moi |
|
Rano
| Jean
Modérateur
Inscrit le : 13/04/2005
|
# Le 13/06/2006 à 21:37
rsa au lieu de RSA ?
edit : ma page était ouverte depuis longtemps
ps : j'ai trouvé pour mon truc au fait bool, il fallait que j'ajoute "GatewayPorts yes" dans le fichier de config ssh et non dans le fichier de config de sshd comme je l'avais fait Chambres d'hote tavel
Séjours en provence
Forum mariage |
|
flush
| Jean-Philippe
Modérateur
Inscrit le : 09/05/2005
|
# Le 13/06/2006 à 21:48
merci beaucoup 
(j'étais pas complètement fou, je sais pas pourquoi je voulais en majuscule absolument !)
Sinon niveau sécurité SSH, vous faites quoi ?
Moi je change le port, je prends un port > 1024
et j'interdit le root de se connecter directement (d'abord par un user, puis "su"). @+ Jean-Philippe |
|
MathieuC
| Mathieu
Modérateur
Inscrit le : 15/07/2005
|
# Le 13/06/2006 à 23:45
flush a dit :
Moi je change le port, je prends un port > 1024
Je repondrais que ce n'est pas en cachant la misere que tu la resoud. Si ton SSHD est fiable, aucune raison de le cacher sur un port bidon.
flush a dit :
et j'interdit le root de se connecter directement (d'abord par un user, puis "su").
Ca oui. Sinon, un systeme de cle aussi, avec auth par cle uniquement et pas par pass. Ou encore auth autorise depuis une seule IP, ton IP fixe. |
|
Bool
| Olivier
Modérateur
Inscrit le : 09/05/2005
|
# Le 14/06/2006 à 00:03
Je vois deux avantages à changer de port, et ce n'est pas pour des raisons de sécurité :
- ça évite de pourrir les logs, et donc les outils genre logcheck de faire un caca nerveux
- ça permet de se connecter avec la carte 3G Orange 
Sinon pareil que Telaxo : je n'autorise que les connexions par clé. Je n'autorise également que quelques logins de connexion.
daevel : infogérance et conseil || moi |
|
flush
| Jean-Philippe
Modérateur
Inscrit le : 09/05/2005
|
# Le 14/06/2006 à 09:29
Merci pour vos petit tuyeaux ;)
Pour les quelques cours de sécurités que j'ai eux, on nous a clairement dit qu'il faut changer les ports par défaut des services non publique. > 1024 voir > 10000, ce qui permet d'éviter les essais de connexions de robots et scanner divers. (Et donc de pourrir les logs ;))
Par contre on nous a aussi dit qu'il faut mieux tout faire par iptables ...
genre :
ouvrir le port 2222 qui va rediriger vers le 22 sur le local... ca permet de centraliser toute cette gestion de "changements de ports"... mais on me parle de performances à la baisse au niveau de "iptables" ? "Infos ou intox ?" Vous avez des retours ?
Il faut mieux changer les ports dans chaque fichier de configuration de chaque service ? (Et ouvrir ce nouveau port sur iptables biensûr ...) @+ Jean-Philippe |
|
Bool
| Olivier
Modérateur
Inscrit le : 09/05/2005
|
# Le 14/06/2006 à 09:45
A partir du moment où tu actives iptables, tu as une légère baisse de perfs. Pour peu que tu actives le "connection tracking", tu as également une "baisse de perfs".
Mais :
- à moins que la machine serve de passerelle et débite plusieurs centaines de Mbps, je ne suis pas sûr que tu vois la différence
- vu le nombre de règles necessaires à iptables quand tu désactives le "connection tracking", je ne suis pas sûr que les pertes soient énormes
- l'ordre des règles iptables a un léger inpact... par "scrupule" tu peux toujours mettre tes règles SSH en dernier... je pense pas que tu y fasses un trafic énorme
En tous cas la méthode de centralisation via iptables n'est pas bête. Bien que perso mis a part SSH, je n'ai rien de "non public" sur les machines.
Pour ce qui est de la sécurité, bah... la "sécurité par l'offuscation", généralement sous Nunux ils aiment pas... on auraient même tendance à te sortir que "ça c'est la méthode Bilou, et tout le monde sait que ce n'est pas efficace".
N'empèche que je cache la version d'Apache et Bind utilisée... juste "au cas où". Ca ne coute rien et même si ça n'apporte rien d'un point de vue sécurité, ça évite de tenter les "script kiddies ". daevel : infogérance et conseil || moi |
|
flush
| Jean-Philippe
Modérateur
Inscrit le : 09/05/2005
|
# Le 14/06/2006 à 10:41
Pour ce qui est de la centralisation "des services privés", on peux retrouvés :
- ftp
- ssh
- webmin
- pop
Je pense aussi que ca doit pas beaucoup jouer niveau perf ... je vais essayer çà ;)
(Mon prof (consultant chez redhat) doit surement avoir raison !)
Bool a dit :
N'empèche que je cache la version d'Apache et Bind utilisée... juste "au cas où".
Justement je voulais savoir comment tu fais pour cacher la version d'apache + disitribution ? Il y a un fichier de configuration ?
Il me semble que on peux changer cela dans ./configure quand on l'installe avec la compilation ... mais j'ai pas envie spécialement de recompiler mon apache !
@+ Jean-Philippe |
|
Bool
| Olivier
Modérateur
Inscrit le : 09/05/2005
|
# Le 14/06/2006 à 10:52
lol dob. Perso je ne vais pas installer un module juste pour ça ;)
Déjà il marque juste "Apache"... ça limite pas mal, et honnètement, le "pirate" sait déjà qu'il a de grandes chances de tomber sur un Apache...
flush : FTP et POP sont plutôt "publiques" pour moi. Si je commence à changer ce genre de ports, y en a beaucoup qui vont raler.
Déjà rien que de forcer le TLS sur le FTP ou le SMTP, puis le SSL sur POP/IMAP, y en a qui ralent où bien qui m'envoyent toutes les personnes n'arrivant pas à configurer leur client.... Alors si je commence à mettre des ports exotiques...
Pour Webmin, ça sert à rien cette bouse Ce truc est tellement intuitif que je finissait toujours par passer par SSH. Il a vite dégagé. Je préférerai presque Plesk, qui même s'il est bien crade a au moins le mérite d'être relativement clair et fonctionnel.
Pour ce qui est de cacher la version, comme la plupart des logiciels (Apache, Bind, PureFTPd, PHP, etc) il ne s'agit que d'une option de configuration, pas de compilation.
daevel : infogérance et conseil || moi |
|
flush
| Jean-Philippe
Modérateur
Inscrit le : 09/05/2005
|
# Le 14/06/2006 à 11:10
Forcément si tu fais de l'hébergement ... tu vas pas t'amuser a changer tous les ports !!
... ftp et pop pour une utilisation personnel ... enfin dans mon cas j'utilise ni l'un ni l'autre ;) (j'ai encore une autre stratégie de sécurité la dessus, que je ne révelerai pas, question de sécurité  )
Webmin > entièrement d'accord ...
Plesk > jamais essayé
Pour ce qui est de cacher la version apache, c'est dans quel fichier cette option ? (Ca pas l'air d'être dans le httpd.conf (ou j'ai sauté une rubrique) @+ Jean-Philippe |
|
Bool
| Olivier
Modérateur
Inscrit le : 09/05/2005
|
# Le 14/06/2006 à 11:34
C'est pas vraiment le fait de faire de l'hébergement ou non, c'est surtout le fait d'etre plusieurs à avoir une boite mail sur la machine
Bah si, c'est dans le httpd.conf. daevel : infogérance et conseil || moi |
|
MathieuC
| Mathieu
Modérateur
Inscrit le : 15/07/2005
|
# Le 14/06/2006 à 12:18
Je reviens juste sur un point, parce que je pense que les choses ne sont pas reflechies dans le bon sens :
flush a dit :
(Mon prof (consultant chez redhat) doit surement avoir raison !)
Non, il n'a pas "raison", il a un avis qui vaut ce qu'il vaut 
Comme toute solution (bonne ou mauvaise), l'appliquer betement parce quelqu'un a dit que c'etait le mieux, mais sans comprendre, ca n'a aucun sens.
Cette parenthese etant faite, je vous laisse a votre discussion |