votre avatar

fsdfsdf4f56ds4fsd65

est avec nous depuis le 6 janvier 2022 ❤️

Bio

Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?

1 commentaires

Serveurs Linux : de plus en plus de cyberattaques, mais moins sophistiquées

Serveurs Linux : de plus en plus de cyberattaques, mais moins sophistiquées

Le 14/02/2022

Le 14/02/2022 à 23h 44

Essaie de filtrer en liste blanche sur des plages d’adresses IP source depuis lesquelles les administrateurs sont les plus susceptibles de se connecter, par exemple celles de FAI de pays dans lequel tu te situes.



Ça évitera la majorité des tentatives.




xlp a dit:


Si tu ne connais pas, jette un œil au port knocking. Faut pas voir ça comme un atout en sécurité (Security by obscurity), par contre ça permet de réduire la taille des logs…




J’appuie, et je précise, qu’aujourd’hui, l’analyse de l’ensemble des adresses IPv4 est réalisable en quelques heures.
Sur la durée, l’ensemble des ports qui répondent peuvent être essayé, et la prise d’empreinte permet de détecter le protocole parlé, notamment pour SSH.



L’obfuscation du port ne sert donc pas à grand chose, mais limite simplement la surface d’attaque face aux vers qui tentent la force brute sur TCP/22… Ce n’est généralement pas d’eux que vient le problème.


Le port knocking c’est pas changer le port SSH sur un autre port, non c’est une méthode qui permet d’autoriser une adresse IP a se connecter au port SSH en faisant des tentatives de connexion sur différents ports dans un ordre précis, c’est un peu un “Port de passe”, exemple: port 52510, puis port 29345, puis port 13334, puis port 7664, ensuite le firewall du serveur autorisa ton IP sur le port SSH.
Avec cette méthode tu peux avoir la totalité des ports de fermés aux yeux du monde.