A voir également:
- Sécurisé SSH
- Mode sécurisé - Guide
- Exemple de mot de passe sécurisé - Guide
- Telecharger ssh - Télécharger - Divers Web & Internet
- Comment se connecter à un wifi sécurisé - Forum TV & Vidéo
- Mode securise free - Forum Téléphones & tablettes Android
2 réponses
kmf31
Messages postés
1564
Date d'inscription
mercredi 30 mars 2005
Statut
Contributeur
Dernière intervention
22 juin 2007
501
9 avril 2005 à 01:48
9 avril 2005 à 01:48
Il faut restreindre les numeros IPs ayant droit a se connecter au ssh. Je crois dans de versions de Linux recent (ca depend comment sshd a ete compile) on peut le faire dans le fichier /etc/hosts.allow, il faut y mettre une directive (une ligne) de genre:
sshd:xxx.yyy.0.0/255.255.0.0
ou xxx.yyy.0.0/255.255.0.0 represente tous les numeros IPs avec xxx.yyy (par exemple 82.243) au debut et de valeurs quelconques apres. Donc pour cegetel il te faudra trouver d'une facon quelconque la bonne plage (ou les bonnes plages) de numeros IPs dont cegetel dispose et attribue a ses clients. S'il y en a plusieures plages d'adresses on peut les mettre toutes les unes derrieres les autres separees par de vergules, par exemple:
ssh:82.243.0.0/255.255.0.0, 82.244.0.0/255.255.0.0
Aussi le masque 255.255.0.0 peut etre different, par exemple 255.255.255.0 si tu veux fixer les 3 premiers numeros ou 255.255.128.0 si tu veux fixer les 2 premiers numeros et le 1er bit du 3ieme numero. Pour les deux 1ers bits du 3ieme numero on met: 255.255.192.0 (car 192=128+64), pour 3 bits on met 255.255.224.0 (car 224=128+64+32) etc.
Si ca ne marche pas avec le fichier /etc/hosts.allow (ca depend du systeme) on peut faire la meme chose avec le firewall est les regles d'iptables. Dans ce cas il faut ajouter au bon endroit dans le script de firewall une ligne comme:
/sbin/iptables -A INPUT -p tcp -s 82.243.0.0/255.255.0.0 --dport 22 -j ACCEPT
ici l'option "--dport 22" indique le port pour ssh. Plus tard il faut bien sur avoir une ligne de rejet comme:
/sbin/iptables -A INPUT -j DROP
pour que toute requete qui n'est pas acceptee par la 1ere regle soi rejetee.
Cependant ca ne marche qu'au cas si on fait soi meme le script firewall avec iptables (c'est relativement complique avec toutes les regles).
Si on a Mandrake, je crois on peut mettre le bon filtrage dans le menu graphique de la configuration du firewall (dans DrakConf). Il faut cliquer sur "avance" dans ce menu et mettre les bonnes plages de numeros IPs mais je ne suis pas sur si c'est possible et comment il faut le faire exactement. Il faut regarder dans la doc de Mandrake (sur leur page web).
sshd:xxx.yyy.0.0/255.255.0.0
ou xxx.yyy.0.0/255.255.0.0 represente tous les numeros IPs avec xxx.yyy (par exemple 82.243) au debut et de valeurs quelconques apres. Donc pour cegetel il te faudra trouver d'une facon quelconque la bonne plage (ou les bonnes plages) de numeros IPs dont cegetel dispose et attribue a ses clients. S'il y en a plusieures plages d'adresses on peut les mettre toutes les unes derrieres les autres separees par de vergules, par exemple:
ssh:82.243.0.0/255.255.0.0, 82.244.0.0/255.255.0.0
Aussi le masque 255.255.0.0 peut etre different, par exemple 255.255.255.0 si tu veux fixer les 3 premiers numeros ou 255.255.128.0 si tu veux fixer les 2 premiers numeros et le 1er bit du 3ieme numero. Pour les deux 1ers bits du 3ieme numero on met: 255.255.192.0 (car 192=128+64), pour 3 bits on met 255.255.224.0 (car 224=128+64+32) etc.
Si ca ne marche pas avec le fichier /etc/hosts.allow (ca depend du systeme) on peut faire la meme chose avec le firewall est les regles d'iptables. Dans ce cas il faut ajouter au bon endroit dans le script de firewall une ligne comme:
/sbin/iptables -A INPUT -p tcp -s 82.243.0.0/255.255.0.0 --dport 22 -j ACCEPT
ici l'option "--dport 22" indique le port pour ssh. Plus tard il faut bien sur avoir une ligne de rejet comme:
/sbin/iptables -A INPUT -j DROP
pour que toute requete qui n'est pas acceptee par la 1ere regle soi rejetee.
Cependant ca ne marche qu'au cas si on fait soi meme le script firewall avec iptables (c'est relativement complique avec toutes les regles).
Si on a Mandrake, je crois on peut mettre le bon filtrage dans le menu graphique de la configuration du firewall (dans DrakConf). Il faut cliquer sur "avance" dans ce menu et mettre les bonnes plages de numeros IPs mais je ne suis pas sur si c'est possible et comment il faut le faire exactement. Il faut regarder dans la doc de Mandrake (sur leur page web).
