Avis sur sécurité accès ssh sur serveur

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Avis sur sécurité accès ssh sur serveur

ryrcass

Bonjour,
je dispose de plusieurs serveurs qui sont configurés comme suit:
hyperviseur Proxmox (debian 8)
/etc/hosts.deny --> sshd: all
/etc/hosts.allow --> sshd: mes IP
script iptables ne donnant accès ssh qu'à mes IP et redirigeant le reste sur un pfsense
acces ssh par certificat
fail2ban avec ban très très long
VM
/etc/hosts.deny --> sshd: all
/etc/hosts.allow --> sshd: le proxmox uniquement
acces ssh autorisé par mot de passe

Dans tous les cas, envoie de mail + SMS lors d'une connexion SSH.

Pensez vous que la sécurité est suffisante ou pas?
Si non, des idées d'amélioration?
Merci d'avance

Solinvictus

Tu peux glaner ici quelques idées supplémentaires : https://github.com/Wonderfall/wonderfall.xyz/blob/master/S%C3%A9curiser%20SSH%20:%20cl%C3%A9s%2C%202FA%2C%20et%20port%20knocking.md

ryrcass

Solinvictus
merci,
j'ai oublié une chose importante dans la config : les serveurs s'échangent des sauvegardes croisées via scp.
Donc je pense que le port knocking peut effectivement être une bonne idée, par contre, j'ai viré TOTP à cause de cela.
A moins qu'on puisse activer TOTP pour root et pas pour certains users? j'ai pas trouvé.

shyne

Salut,

Tu peux activer l'identification en deux étapes (à la manière de Steam Guard) si tu veux renforcer l'accès SSH par mot de passe, via google authenticator. Mais je pense que ça devrait être bon déja, tu m'a l'air plus sécurisé que 95% des machines sur le WAN.

Quant on pense que certains mettent leur raspberry sur internet avec les login/mdp par défaut de raspbian, les potentiels agresseurs ne font plus dans la tentative d'intrusion violente, mais attaque les machines les plus vulnérables... SSH avec un mot de passe de plus de 12 caractères avec F2B est déja largement suffisant.

Voila 🙂

ryrcass

Ikoula
Bonjour, ce sont des serveur d'entreprises, chez Online, OVH et en datacenters (pas encore chez Ikoula, désolé), c'est pour ça que la sécu doit être blindée +++
Les ports ssh sont changés et je viens de mettre en place le port knocking

shyne j'ai désactivé la double authentification car les serveurs s'échangent des données par SCP et je n'arrive pas à la mettre en place pour ROOT et pas pour "l'utilisateur de sauvegardes", si tu sais comment faire, je suis preneur.

Merci à tous pour vos réponses instructives

Ikoula

Bonjour,

Bah c'est déjà bien blindé là après tu peux changer le port et interdire le rootlogin.
Si ce sont des serveurs "à la maison" et que tu veux pousser le truc je pense qu'il faudrait aussi voir en amont du côté des options de la box internet.

myxomatom

Je pense que pour ce qui est du SSH, I'll NY a pas de souci.

Alors il va falloir sécuriser les services que tu mets sur tes VM. Mais n'est pas par le SSH que les attaquants passeront si jamais ton serveur est attaqué.