[TUTO] Sécuriser son SSH pour un accès depuis l'extérieur
Modérateur : Francois
Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur
Bonjour.
j'ai une p'tite question.
si sur la box (livebox) on ne redirige pas les ports , pour un accès depuis l'extérieur , y'a t'il quand même un risque ?
pour ma part , quand je fais une install.
je supprime l'user pi , je crée un autre user , je redonne uid 1000 à cette user et je donne un password à root et partage nfs .
est il possible sans trop de risque de minimiser la sécurité , si on ne prévoit pas du tout d'accès depuis l'extérieur?
j'ai une p'tite question.
si sur la box (livebox) on ne redirige pas les ports , pour un accès depuis l'extérieur , y'a t'il quand même un risque ?
pour ma part , quand je fais une install.
je supprime l'user pi , je crée un autre user , je redonne uid 1000 à cette user et je donne un password à root et partage nfs .
est il possible sans trop de risque de minimiser la sécurité , si on ne prévoit pas du tout d'accès depuis l'extérieur?
-
- Administrateur
- Messages : 3234
- Enregistré le : mer. 17 sept. 2014 18:12
- Localisation : Seine et Marne
Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur
Bonjour,
Si tu ne redirige pas les ports, le Rpi ne sera pas accessible depuis Internet, ce qui te donne une grande sécurité.
Attention néanmoins, si une autre machine est accessible depuis l'extérieur, en théorie, en se connectant à cette machine depuis Internet, tu peux ensuite via cette machine accède au Rpi. Pour ma part c'est ce que je fais, une seule machine est accessible depuis l'extérieur, et depuis cet connexion, j'accède ensuite aux autres machines.
Exemple :
Avec x Rpi sur mon réseau local.
un seul est accessible depuis internet (routage de port sur le routeur vers ce Rpi).
je me connecte donc sur ce Rpi qui ne possède aucune info ou fichier particulier, ensuite une fois connecté à ce Rpi, je fais un SSH vers les IP privées des autres Rpi pour y accéder depuis Internet. Mais aucun des autres Rpi n'est directement accessible en direct depuis Internet.
Si tu ne redirige pas les ports, le Rpi ne sera pas accessible depuis Internet, ce qui te donne une grande sécurité.
Attention néanmoins, si une autre machine est accessible depuis l'extérieur, en théorie, en se connectant à cette machine depuis Internet, tu peux ensuite via cette machine accède au Rpi. Pour ma part c'est ce que je fais, une seule machine est accessible depuis l'extérieur, et depuis cet connexion, j'accède ensuite aux autres machines.
Exemple :
Avec x Rpi sur mon réseau local.
un seul est accessible depuis internet (routage de port sur le routeur vers ce Rpi).
je me connecte donc sur ce Rpi qui ne possède aucune info ou fichier particulier, ensuite une fois connecté à ce Rpi, je fais un SSH vers les IP privées des autres Rpi pour y accéder depuis Internet. Mais aucun des autres Rpi n'est directement accessible en direct depuis Internet.
Passionné de Raspberry, Arduino, ESP8266, ESP32, et objets connectés :
Spécial débutant, concevez vous-même votre domotique DIY : https://www.youtube.com/c/DomoticDIY
Conception d'une station météo DIY, et envoi des infos à votre Domotique.
Spécial débutant, concevez vous-même votre domotique DIY : https://www.youtube.com/c/DomoticDIY
Conception d'une station météo DIY, et envoi des infos à votre Domotique.
Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur
merci bien pour ces précisions !
-
- Messages : 46
- Enregistré le : lun. 22 janv. 2018 11:04
Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur
A propos de sécurité, vous ne parlez pas de serveur VPN qui est pourtant simple à mettre en place sur un Pi, par exemple, avec ce tuto de Korben :
https://korben.info/pivpn-transformer-r ... envpn.html
https://korben.info/pivpn-transformer-r ... envpn.html
-
- Modérateur
- Messages : 790
- Enregistré le : dim. 16 nov. 2014 20:53
- Localisation : Charleroi - Belgique
Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur
Bonsoir,
L'accès SSH vous permets de garder la main sur différents équipements, tandis que le VPN vous permets de travailler à distance dans votre réseau.
Imaginons le cas suivant :
Votre RPI fait office de serveur VPN, malheureusement, celui-ci ne fonctionne plus (peu importe la raison).
Il vous est, dans ce cas, impossible de travailler dans votre réseau.
Le SSH activé, sécurisé et accessible depuis l'extérieur, vous permets de reprendre la main rapidement afin de corriger le problème.
Bonne soirée,
Attention, un accès SSH et un VPN sont deux choses différentes.Le Ptit Nicolas a écrit :A propos de sécurité, vous ne parlez pas de serveur VPN qui est pourtant simple à mettre en place sur un Pi, par exemple, avec ce tuto de Korben :
https://korben.info/pivpn-transformer-r ... envpn.html
L'accès SSH vous permets de garder la main sur différents équipements, tandis que le VPN vous permets de travailler à distance dans votre réseau.
Imaginons le cas suivant :
Votre RPI fait office de serveur VPN, malheureusement, celui-ci ne fonctionne plus (peu importe la raison).
Il vous est, dans ce cas, impossible de travailler dans votre réseau.
Le SSH activé, sécurisé et accessible depuis l'extérieur, vous permets de reprendre la main rapidement afin de corriger le problème.
Bonne soirée,
Il n'y a pas de question stupide, il n'y a que des imbéciles qui ne posent pas de question !
RaspBerry Pi : 1 x B+ Raspbian 1 x RPI2 MiniBian
Mieux me connaître ? Regarder mon LinkedIn
RaspBerry Pi : 1 x B+ Raspbian 1 x RPI2 MiniBian
Mieux me connaître ? Regarder mon LinkedIn
-
- Messages : 2
- Enregistré le : jeu. 14 nov. 2019 21:02
Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur
Prenons un cas concret : votre ordinateur chez vous est sous Linux, vous le laissez allumé. Pendant la journée au boulot, vous avez besoin de lancer un téléchargement ou de récupérer un document. Vous vous connectez à distance sur votre machine et vous ouvrez une console comme si vous étiez en face de votre PC ! Tout ce que vous avez appris à faire dans une console, vous pouvez le faire à distance depuis n'importe quelle machine dans le monde.
-
- Modérateur
- Messages : 790
- Enregistré le : dim. 16 nov. 2014 20:53
- Localisation : Charleroi - Belgique
Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur
Bonsoir,
N'oubliez pas que la commande que vous exécutez est liée à votre session SSH, si vous la quitter ou si la liaison s'interrompt, en fermant la fenêtre par exemple, la commande s'arrête !
Je vous invite a utiliser la commande « screen » qui vous permet de lancer un terminal persistant sur votre machine distante.
Ceci n'est pas valable pour les deamon qui tourne en background en tant que service.
Ces derniers sont généralement lancés via la commande « service X start », la commande « /etc/init.d/X start» ou la commande « systemctl start X ».
Bonne soirée,
Je me permets de faire un rajoute à ce qui est dit ci-dessus :amyhimesama a écrit : ↑jeu. 14 nov. 2019 21:05Prenons un cas concret : votre ordinateur chez vous est sous Linux, vous le laissez allumé. Pendant la journée au boulot, vous avez besoin de lancer un téléchargement ou de récupérer un document. Vous vous connectez à distance sur votre machine et vous ouvrez une console comme si vous étiez en face de votre PC ! Tout ce que vous avez appris à faire dans une console, vous pouvez le faire à distance depuis n'importe quelle machine dans le monde.
N'oubliez pas que la commande que vous exécutez est liée à votre session SSH, si vous la quitter ou si la liaison s'interrompt, en fermant la fenêtre par exemple, la commande s'arrête !
Je vous invite a utiliser la commande « screen » qui vous permet de lancer un terminal persistant sur votre machine distante.
Ceci n'est pas valable pour les deamon qui tourne en background en tant que service.
Ces derniers sont généralement lancés via la commande « service X start », la commande « /etc/init.d/X start» ou la commande « systemctl start X ».
Bonne soirée,
Il n'y a pas de question stupide, il n'y a que des imbéciles qui ne posent pas de question !
RaspBerry Pi : 1 x B+ Raspbian 1 x RPI2 MiniBian
Mieux me connaître ? Regarder mon LinkedIn
RaspBerry Pi : 1 x B+ Raspbian 1 x RPI2 MiniBian
Mieux me connaître ? Regarder mon LinkedIn
Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur
Merci pour le rappel des bonnes habitudes à prendre, que j'applique depuis 20 ans sur mes serveurs Linux.
J'ajoute une possibilité :
L'un de vous a dit, à très juste titre, qu'il est possible, sur une FreeBox de n'autoriser qu'une certaine ip cliente à accéder au ssh à distance.
Si malheureusement, votre box ne le permet pas, il reste possible de filtrer les ip autorisées à se connecter en ssh sur un raspberry (ou tout autre linux).
Pour cela, 2 méthodes possibles :
- soit via le pare-feu (que ce soit firewalld pour les distribution type Redhat, CentOs etc... ou iptables sur les Debian et consorts comme ubuntu, Raspbian)
- soit via le paramètre Listen du fichier /etc/sshd sur votre Raspberry
Sur le même principe, mais en sens opposé, fail2ban permet de ne pas contrôler certains ip clientes considérées comme sûres (paramètre ignoreip du fichier de configuration)
Ceci est très utile, si, comme moi, votre serveur (que ce soit un raspberry ou autre) est en ip public fixe et que votre client, l'est aussi.
Sachez, sans vouloir vous faire peur, que 90 % du traffic internet est constitué de tentatives d'intrusion ou d'envoi de spam. Internet, c'est la guerre !
Et que si vous faisiez des statistiques de tentatives d'accès à votre machine accessible de l'extérieur, liée à un nom de domaine (ça augmente les risques) , vous verriez que la grande majorité des tentatives d'intrusions viennent de Chine, d'Israël, d'Ukraine, des Etats-Unis, de Russie et de Roumanie.
J'ajoute une possibilité :
L'un de vous a dit, à très juste titre, qu'il est possible, sur une FreeBox de n'autoriser qu'une certaine ip cliente à accéder au ssh à distance.
Si malheureusement, votre box ne le permet pas, il reste possible de filtrer les ip autorisées à se connecter en ssh sur un raspberry (ou tout autre linux).
Pour cela, 2 méthodes possibles :
- soit via le pare-feu (que ce soit firewalld pour les distribution type Redhat, CentOs etc... ou iptables sur les Debian et consorts comme ubuntu, Raspbian)
- soit via le paramètre Listen du fichier /etc/sshd sur votre Raspberry
Sur le même principe, mais en sens opposé, fail2ban permet de ne pas contrôler certains ip clientes considérées comme sûres (paramètre ignoreip du fichier de configuration)
Ceci est très utile, si, comme moi, votre serveur (que ce soit un raspberry ou autre) est en ip public fixe et que votre client, l'est aussi.
Sachez, sans vouloir vous faire peur, que 90 % du traffic internet est constitué de tentatives d'intrusion ou d'envoi de spam. Internet, c'est la guerre !
Et que si vous faisiez des statistiques de tentatives d'accès à votre machine accessible de l'extérieur, liée à un nom de domaine (ça augmente les risques) , vous verriez que la grande majorité des tentatives d'intrusions viennent de Chine, d'Israël, d'Ukraine, des Etats-Unis, de Russie et de Roumanie.
Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur
Salut à tous.
Cela se nomme le NAT et permet de faire la redirectrion du flux du port 22 vers l'adresse IP fixe de votre raspberry.
Si c'est dans le réseau local, la FreeBox ne permet pas de filtrer ce flux en interne.
Pour le filtrage dans une raspberry, j'utilise à cet effet IPTABLES, mais en local :
Dans ce cas, toutes les adresses IP sont autorisées à utiliser SSH.
Comme le flux venant d'internet est redirigé vers l'adresse où se trouve votre raspberry, on peut ajouter :
L'adresse IP est celle de la source, à savoir l'adresse WAN de l'emetteur.
L'adresse destination est celle qui a été modifié par le NAT et est donc celle de votre raspberry.
Je ne suis pas suffisamment expert dans les IPTABLES pour savoir si l'on peut augmenter la sécurité de l'accès via SSH.
@+
Vous voulez dire depuis internet vers une raspberry en local à votre réseau.cbalo a écrit :L'un de vous a dit, à très juste titre, qu'il est possible, sur une FreeBox de n'autoriser qu'une certaine ip cliente à accéder au ssh à distance.
Cela se nomme le NAT et permet de faire la redirectrion du flux du port 22 vers l'adresse IP fixe de votre raspberry.
Si c'est dans le réseau local, la FreeBox ne permet pas de filtrer ce flux en interne.
Pour le filtrage dans une raspberry, j'utilise à cet effet IPTABLES, mais en local :
Code : Tout sélectionner
# ------------ #
# SSH (Server) #
# ------------ #
iptables -t filter -A INPUT -p TCP --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p TCP --sport 22 -j ACCEPT
Comme le flux venant d'internet est redirigé vers l'adresse où se trouve votre raspberry, on peut ajouter :
Code : Tout sélectionner
# ------------ #
# SSH (Server) #
# ------------ #
iptables -t filter -A INPUT -p TCP -s xxx.xxx.xxx.xxx/32 --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p TCP -d xxx.xxx.xxx.xxx/32 --sport 22 -j ACCEPT
L'adresse destination est celle qui a été modifié par le NAT et est donc celle de votre raspberry.
Je ne suis pas suffisamment expert dans les IPTABLES pour savoir si l'on peut augmenter la sécurité de l'accès via SSH.
@+
RPI4B/8GB + Argon FanHAt
Rpi3A+, Rpi3B+
RPi 2B + Joy-It I2C Serial 20x4 2004 LCD Module
RPi 2B + PIM273 Unicorn HAT HD 16x16 Leds RGB
RPi0v1.3, RPi0W + LibreElec/Kodi, Rpi0WH + Tuner TV HAT
NodeMCU ESP32
Rpi3A+, Rpi3B+
RPi 2B + Joy-It I2C Serial 20x4 2004 LCD Module
RPi 2B + PIM273 Unicorn HAT HD 16x16 Leds RGB
RPi0v1.3, RPi0W + LibreElec/Kodi, Rpi0WH + Tuner TV HAT
NodeMCU ESP32
Re: [TUTO] Sécuriser son SSH pour un accès depuis l'extérieur
Non je ne parlais pas de nat.
Je parlais de filtres.
Envoyé de mon SM-J710F en utilisant Tapatalk
Je parlais de filtres.
Envoyé de mon SM-J710F en utilisant Tapatalk