framboise314.fr

Bonjour.
j'ai une p'tite question.
si sur la box (livebox) on ne redirige pas les ports , pour un accès depuis l'extérieur , y'a t'il quand même un risque ?

pour ma part , quand je fais une install.
je supprime l'user pi , je crée un autre user , je redonne uid 1000 à cette user et je donne un password à root et partage nfs .

est il possible sans trop de risque de minimiser la sécurité , si on ne prévoit pas du tout d'accès depuis l'extérieur?

Bonjour,

Si tu ne redirige pas les ports, le Rpi ne sera pas accessible depuis Internet, ce qui te donne une grande sécurité.
Attention néanmoins, si une autre machine est accessible depuis l'extérieur, en théorie, en se connectant à cette machine depuis Internet, tu peux ensuite via cette machine accède au Rpi. Pour ma part c'est ce que je fais, une seule machine est accessible depuis l'extérieur, et depuis cet connexion, j'accède ensuite aux autres machines.

Exemple :
Avec x Rpi sur mon réseau local.
un seul est accessible depuis internet (routage de port sur le routeur vers ce Rpi).
je me connecte donc sur ce Rpi qui ne possède aucune info ou fichier particulier, ensuite une fois connecté à ce Rpi, je fais un SSH vers les IP privées des autres Rpi pour y accéder depuis Internet. Mais aucun des autres Rpi n'est directement accessible en direct depuis Internet.

merci bien pour ces précisions !

A propos de sécurité, vous ne parlez pas de serveur VPN qui est pourtant simple à mettre en place sur un Pi, par exemple, avec ce tuto de Korben :
https://korben.info/pivpn-transformer-r ... envpn.html

Bonsoir,

Le Ptit Nicolas a écrit :A propos de sécurité, vous ne parlez pas de serveur VPN qui est pourtant simple à mettre en place sur un Pi, par exemple, avec ce tuto de Korben :
https://korben.info/pivpn-transformer-r ... envpn.html

Attention, un accès SSH et un VPN sont deux choses différentes.

L'accès SSH vous permets de garder la main sur différents équipements, tandis que le VPN vous permets de travailler à distance dans votre réseau.

Imaginons le cas suivant :
Votre RPI fait office de serveur VPN, malheureusement, celui-ci ne fonctionne plus (peu importe la raison).
Il vous est, dans ce cas, impossible de travailler dans votre réseau.
Le SSH activé, sécurisé et accessible depuis l'extérieur, vous permets de reprendre la main rapidement afin de corriger le problème.

Bonne soirée,

Prenons un cas concret : votre ordinateur chez vous est sous Linux, vous le laissez allumé. Pendant la journée au boulot, vous avez besoin de lancer un téléchargement ou de récupérer un document. Vous vous connectez à distance sur votre machine et vous ouvrez une console comme si vous étiez en face de votre PC ! Tout ce que vous avez appris à faire dans une console, vous pouvez le faire à distance depuis n'importe quelle machine dans le monde.

Bonsoir,

amyhimesama a écrit : ↑

jeu. 14 nov. 2019 21:05

Prenons un cas concret : votre ordinateur chez vous est sous Linux, vous le laissez allumé. Pendant la journée au boulot, vous avez besoin de lancer un téléchargement ou de récupérer un document. Vous vous connectez à distance sur votre machine et vous ouvrez une console comme si vous étiez en face de votre PC ! Tout ce que vous avez appris à faire dans une console, vous pouvez le faire à distance depuis n'importe quelle machine dans le monde.

Je me permets de faire un rajoute à ce qui est dit ci-dessus :

N'oubliez pas que la commande que vous exécutez est liée à votre session SSH, si vous la quitter ou si la liaison s'interrompt, en fermant la fenêtre par exemple, la commande s'arrête !
Je vous invite a utiliser la commande « screen » qui vous permet de lancer un terminal persistant sur votre machine distante.

Ceci n'est pas valable pour les deamon qui tourne en background en tant que service.
Ces derniers sont généralement lancés via la commande « service X start », la commande « /etc/init.d/X start» ou la commande « systemctl start X ».

Bonne soirée,

Merci pour le rappel des bonnes habitudes à prendre, que j'applique depuis 20 ans sur mes serveurs Linux.

J'ajoute une possibilité :
L'un de vous a dit, à très juste titre, qu'il est possible, sur une FreeBox de n'autoriser qu'une certaine ip cliente à accéder au ssh à distance.

Si malheureusement, votre box ne le permet pas, il reste possible de filtrer les ip autorisées à se connecter en ssh sur un raspberry (ou tout autre linux).
Pour cela, 2 méthodes possibles :
- soit via le pare-feu (que ce soit firewalld pour les distribution type Redhat, CentOs etc... ou iptables sur les Debian et consorts comme ubuntu, Raspbian)
- soit via le paramètre Listen du fichier /etc/sshd sur votre Raspberry

Sur le même principe, mais en sens opposé, fail2ban permet de ne pas contrôler certains ip clientes considérées comme sûres (paramètre ignoreip du fichier de configuration)

Ceci est très utile, si, comme moi, votre serveur (que ce soit un raspberry ou autre) est en ip public fixe et que votre client, l'est aussi.

Sachez, sans vouloir vous faire peur, que 90 % du traffic internet est constitué de tentatives d'intrusion ou d'envoi de spam. Internet, c'est la guerre !
Et que si vous faisiez des statistiques de tentatives d'accès à votre machine accessible de l'extérieur, liée à un nom de domaine (ça augmente les risques) , vous verriez que la grande majorité des tentatives d'intrusions viennent de Chine, d'Israël, d'Ukraine, des Etats-Unis, de Russie et de Roumanie.

Salut à tous.

cbalo a écrit :L'un de vous a dit, à très juste titre, qu'il est possible, sur une FreeBox de n'autoriser qu'une certaine ip cliente à accéder au ssh à distance.

Vous voulez dire depuis internet vers une raspberry en local à votre réseau.
Cela se nomme le NAT et permet de faire la redirectrion du flux du port 22 vers l'adresse IP fixe de votre raspberry.
Si c'est dans le réseau local, la FreeBox ne permet pas de filtrer ce flux en interne.

Pour le filtrage dans une raspberry, j'utilise à cet effet IPTABLES, mais en local : Dans ce cas, toutes les adresses IP sont autorisées à utiliser SSH.

Comme le flux venant d'internet est redirigé vers l'adresse où se trouve votre raspberry, on peut ajouter : L'adresse IP est celle de la source, à savoir l'adresse WAN de l'emetteur.
L'adresse destination est celle qui a été modifié par le NAT et est donc celle de votre raspberry.

Je ne suis pas suffisamment expert dans les IPTABLES pour savoir si l'on peut augmenter la sécurité de l'accès via SSH.

@+

Non je ne parlais pas de nat.
Je parlais de filtres.

Envoyé de mon SM-J710F en utilisant Tapatalk