C'était un joke.
tentative d'intrusion
La sécurité n'est pas quelque chose qui n'est pas pris en compte chez Fedora.
Il y a déjà de base plusieurs mécanismes qui sont activés pour quelqu'un qui installe une version Workstation.
L'utilisateur root qui n'a pas de mot de passe déclaré donc ça va être compliqué d'y accéder par un couple root/mdp.
L'utilisateur déclaré n'a des droits administrateur limités que par élévation des privilèges via sudo et par la saisie de son mot de passe. De base il n'utilisera jamais sudo, même pas sûr qu'il connaisse l'existence de la commande 🙂
SELinux qui est activé en mode enforcing.
Polkit qui gère finement les droits pour les interactions avec des services privilégiés du système sans élévation de privilège administrateur.
Firewalld, le pare-feu, qui est activé par défaut en zone FedoraWorkstation.
L'accès SSH qui n'est pas activé, l'utilisateur peut l'activer directement dans les paramètres mais de ce fait il doit aussi savoir à quoi il s'expose.
Voilà comme ça rapidement ce qui me passe par la tête, donc après c'est du plus pour quelqu'un qui va avoir une utilisation serveur et donc exposer des ports et services derrières.
La première protection reste de connaitre ce que l'on utilise et comment ça fonctionne, mais pour ça il faut prendre le temps de lire des documentations.
Ensuite, tu as des attaques à l'aveugle avec des utilisateurs au pif et des mots de passe associés selon ce qui a pu fuiter, même pas sûr que ton ton root s'il venait à exister soit visé. Bienvenue sur internet :hammer:
Il y a déjà de base plusieurs mécanismes qui sont activés pour quelqu'un qui installe une version Workstation.
L'utilisateur root qui n'a pas de mot de passe déclaré donc ça va être compliqué d'y accéder par un couple root/mdp.
L'utilisateur déclaré n'a des droits administrateur limités que par élévation des privilèges via sudo et par la saisie de son mot de passe. De base il n'utilisera jamais sudo, même pas sûr qu'il connaisse l'existence de la commande 🙂
SELinux qui est activé en mode enforcing.
Polkit qui gère finement les droits pour les interactions avec des services privilégiés du système sans élévation de privilège administrateur.
Firewalld, le pare-feu, qui est activé par défaut en zone FedoraWorkstation.
L'accès SSH qui n'est pas activé, l'utilisateur peut l'activer directement dans les paramètres mais de ce fait il doit aussi savoir à quoi il s'expose.
Voilà comme ça rapidement ce qui me passe par la tête, donc après c'est du plus pour quelqu'un qui va avoir une utilisation serveur et donc exposer des ports et services derrières.
La première protection reste de connaitre ce que l'on utilise et comment ça fonctionne, mais pour ça il faut prendre le temps de lire des documentations.
Ensuite, tu as des attaques à l'aveugle avec des utilisateurs au pif et des mots de passe associés selon ce qui a pu fuiter, même pas sûr que ton ton root s'il venait à exister soit visé. Bienvenue sur internet :hammer:
- Modifié
Effectivement , vu comme ça, c'est rassurant. Merci.
Mais ce robot a réussi à passer la box SFR, trouver la règle NAT, et attaqué un PC derrière. C'est déjà for! Ou alors, il n'y a aucune protection sur ce genre de box.
Mais ce robot a réussi à passer la box SFR, trouver la règle NAT, et attaqué un PC derrière. C'est déjà for! Ou alors, il n'y a aucune protection sur ce genre de box.
Tu peux détailler un peu plus ?thierryR wrote:Effectivement , vu comme ça, c'est rassurant. Merci.
Mais ce robot a réussi à passer la box SFR, trouver la règle NAT, et attaqué un PC derrière. C'est déjà for! Ou alors, il n'y a aucune protection sur ce genre de box.
Mais ça c'est à toi de le vérifier. Entre dans la configuration de la box et explore.thierryR wrote:Ou alors, il n'y a aucune protection sur ce genre de box.
- Modifié
@Nicosss: La liaison SSH que j’établis avec cet ordinateur est en dehors de mon LAN. Je passe par internet après avoir établi des règles NAT sur la box de destination (SFR) et rejoindre le PC attaqué. Le port 22 n'existe pas sur internet. C'est la box qui fait la redirection. Le robot a trouvé une IP à attaquer, puis il a trouvé le port d'entrée NATé pour se retrouver à la porte de l'ordinateur. Visiblement il n'y a pas grand chose en protection sur cette box. Un simple fail2ban aurait déjà du éviter cette attaque directe sur un PC sur un LAN privé. SFR ne repère pas le trafic et toutes ces IP qui passent.
@nouvo09: C'est effectivement une précaution à prendre, mais je pensais qu'une grosse boite comme SFR gérait par elle même la protection de ses abonnés. Comme quoi les idées reçues ....
@nouvo09: C'est effectivement une précaution à prendre, mais je pensais qu'une grosse boite comme SFR gérait par elle même la protection de ses abonnés. Comme quoi les idées reçues ....
Ou inventées.Comme quoi les idées reçues ....
J'ai bien compris le concept de la règle NAT dans la Box mais c'était pour savoir si tu utilisais un autre port.thierryR wrote:@Nicosss: La liaison SSH que j’établis avec cet ordinateur est en dehors de mon LAN. Je passe par internet après avoir établi des règles NAT sur la box de destination (SFR) et rejoindre le PC attaqué. Le port 22 n'existe pas sur internet. C'est la box qui fait la redirection. Le robot a trouvé une IP à attaquer, puis il a trouvé le port d'entrée NATé pour se retrouver à la porte de l'ordinateur. Visiblement il n'y a pas grand chose en protection sur cette box. Un simple fail2ban aurait déjà du éviter cette attaque directe sur un PC sur un LAN privé. SFR ne repère pas le trafic et toutes ces IP qui passent.
@nouvo09: C'est effectivement une précaution à prendre, mais je pensais qu'une grosse boite comme SFR gérait par elle même la protection de ses abonnés. Comme quoi les idées reçues ....
"Le port 22 n'existe pas sur internet." -> Ah bon ?
Les robots scannent les ports d'IP puis quand ça répond, ça lance les scripts de connexions.
Les FAI ne veulent pas perdre de temps en développement pour des fonctionnalités qui ne servent qu'à quelques personnes et risquent de complexifier leur maintenance.
SFR s'en fout comme les autres, il sont juste là pour te fournir un accès à internet et surtout te vendre pleins d'options, services, etc. Le côté sécurité c'est surtout pour eux afin de ne pas se faire exploiter leurs Box.
Merci Nicosss, tu éclaires bien ma lanterne. Quand je disais "Le port 22 n'existe pas sur internet." c'est juste dans ce que j'ai mis en place.
Pour les box, il faut donc considérer que rien n'existe. C'est dur à entendre quand on pense qu'elle doit protéger notre LAN. Du coup les tablettes et téléphone deviennent très vulnérables. Donc dans l'idéal, il faudrait placer un routeur perso qu'on équiperait d'un max de protection ?
Pour les box, il faut donc considérer que rien n'existe. C'est dur à entendre quand on pense qu'elle doit protéger notre LAN. Du coup les tablettes et téléphone deviennent très vulnérables. Donc dans l'idéal, il faudrait placer un routeur perso qu'on équiperait d'un max de protection ?
Après tu peux déployer une solution type pfSense pour mettre en tête ou il existe d'autres solutions propriétaires aussi dont des matériels.
Je te dirais que c'est déjà pas mal ce qui peut être fourni par certaines Box pour ce qui est de la partie réseau. Combien de personnes savent qu'ils ont une interface avec leur Box et la possibilité de faire des réglages qu'ils comprennent ?
En attendant Fail2ban fait le job aussi.
Je te dirais que c'est déjà pas mal ce qui peut être fourni par certaines Box pour ce qui est de la partie réseau. Combien de personnes savent qu'ils ont une interface avec leur Box et la possibilité de faire des réglages qu'ils comprennent ?
En attendant Fail2ban fait le job aussi.
Et si le pc que tu veux joindre est le tien, tu peux facilement attribuer à ssh le port 61897 qu'aucun robot ne va jamais tester. Et surtout désactiver la réponse au ping.
Pour le reste il faut considérer que la fibre se développe très vite et que trouver un routeur compatible dans le commerce est un peu illusoire.
Pour le reste il faut considérer que la fibre se développe très vite et que trouver un routeur compatible dans le commerce est un peu illusoire.
Je pensais une chose impossible: SSH ne sert que pour la prise en main à distance et les sauvegardes distantes elles aussi. Ce service permanent ne sert pas beaucoup. N'y aurait-il pas un moyen de démarrer SSH à la demande suivant un appel venant de l'intérieur (PC) ou de l'extérieur (Internet). En dehors du temps le port 22 resterait fermé.
- Modifié
Ceci veut dire qu'il faut aussi paramétrer SelLinux et Firewalld ?nouvo09 wrote:Et si le pc que tu veux joindre est le tien, tu peux facilement attribuer à ssh le port 61897 qu'aucun robot ne va jamais tester. Et surtout désactiver la réponse au ping.
Pour le reste il faut considérer que la fibre se développe très vite et que trouver un routeur compatible dans le commerce est un peu illusoire.
semanage port -l | grep ssh
ValueError: La stratégie SELinux n’est pas gérée ou la base n’est pas accessible.
Pour le routeur il faudrait bien sur un gigabit. La fibre s'arrête au bout de la jarretière. Le LAN reste en cuivre.et quid du protocole de connexion ? tu le connais ?Pour le routeur il faudrait bien sur un gigabit. La fibre s'arrête au bout de la jarretière.
Oui pour les 2.
D'ailleurs ta commande est à lancer avec sudo pour avoir un retour.
Rien ne t'empêche d'avoir du 1 Gigabit en Ethernet avec le cuivre. Certaines Box peuvent être passées en bridge et ne font office que de modem du coup.
D'ailleurs ta commande est à lancer avec sudo pour avoir un retour.
Rien ne t'empêche d'avoir du 1 Gigabit en Ethernet avec le cuivre. Certaines Box peuvent être passées en bridge et ne font office que de modem du coup.
Tu parles de l'IPv6 je pense. (free)Nicosss wrote:
Rien ne t'empêche d'avoir du 1 Gigabit en Ethernet avec le cuivre. Certaines Box peuvent être passées en bridge et ne font office que de modem du coup.
J'aime bien l'idée de @nouvo09. Donc pour désactiver le ping il faut dans "/etc/sysctl.conf" dans /etc/sysctl.d/ping.conf ajouter
net.ipv4.conf.icmp_echo_ignore_all = 1
recharger "sysctl"
sysctl -p
J'espère ne pas me tromper, mais parfois c'est chi... car le ping a son utilité. Dans l'idéal il faudrait un ping interne au LAN, et qui ne sorte pas sur internet, mais ça, je crois que ce n'est pas encore inventé.https://fr.wikipedia.org/wiki/Port_knockingthierryR wrote:... Ce service permanent ne sert pas beaucoup. N'y aurait-il pas un moyen de démarrer SSH à la demande suivant un appel venant de l'intérieur (PC) ou de l'extérieur (Internet). En dehors du temps le port 22 resterait fermé.
Non pas du tout, juste que ta Box n'assume que la fonction modem et rien d'autre.thierryR wrote:Tu parles de l'IPv6 je pense. (free)Nicosss wrote:
Rien ne t'empêche d'avoir du 1 Gigabit en Ethernet avec le cuivre. Certaines Box peuvent être passées en bridge et ne font office que de modem du coup.
- Modifié
C'est très intéressant le port knocking https://www.linuxtricks.fr/wiki/iptables-port-knocking-pour-ouvrir-ssh
Faudrait déjà que j'essaie sur mon LAN avant d'aller plus loin, mais ça répond bien à mon idée.
C'est encore un élément de sécurité supplémentaire. Merci Philippe.
EDIT: On pourrait pas faire un système ou iptable reconnait la clé RSA de SSH pour ouvrir le port ?
Faudrait déjà que j'essaie sur mon LAN avant d'aller plus loin, mais ça répond bien à mon idée.
C'est encore un élément de sécurité supplémentaire. Merci Philippe.
EDIT: On pourrait pas faire un système ou iptable reconnait la clé RSA de SSH pour ouvrir le port ?