Messages : 51
Sujets : 7
Inscription : Jun 2013
Bonjour,
Est-ce que votre raspberry est disponible directement sur le net en ssh ? Si oui voyez vous régulièrement des tentatives d'accès non autorisées (genre attaque par dictionnaire) ? Quelles mesures avez vous prises pour sécuriser l'accès dans ce cas ?
Pour ma part j'utilise portsentry pour empêcher le scan de ports, fail2ban pour bannir les ip ayant trop de tentatives échouées, une config maison d'iptables et l'obligation d'utiliser des clés pour se connecter via ssh.
Le problème avec les citations sur Internet, c'est qu'il est difficile de déterminer si elles sont authentiques ou non.
Abraham Lincoln
Messages : 1,410
Sujets : 49
Inscription : Jun 2013
Bonne idée de tuto ça :-)
Chez moi tout est fermé sauf lors de test pour des tutos. ET donc pas de monitoring anti intrusion
Raspberry Pi Home Server :
http://www.pihomeserver.fr
Hotspot Wifi avec portail captif pour Raspberry Pi:
Kupiki Hotspot
Messages : 1,031
Sujets : 17
Inscription : Jun 2013
zipyz a écrit :Est-ce que votre raspberry est disponible directement sur le net en ssh ?
oui
zipyz a écrit :Si oui voyez vous régulièrement des tentatives d'accès non autorisées (genre attaque par dictionnaire) ?
Vu que j'ai l'authentification que par clé publique (et non par mot de passe) et vu que je suis en écoute sur le port 80 pour principalement pouvoir + facilement me connecter dessus meme depuis des acces "restreints".. alors au final, dans mon cas .. non.
zipyz a écrit :Quelles mesures avez vous prises pour sécuriser l'accès dans ce cas ?
voir au dessus.
zipyz a écrit :Pour ma part j'utilise portsentry pour empêcher le scan de ports, fail2ban pour bannir les ip ayant trop de tentatives échouées, une config maison d'iptables et l'obligation d'utiliser des clés pour se connecter via ssh.
J'utilise aussi fail2ban sur d'autres accès tels que FTP/FTPS par exemple et ca fonctionne bien.
Pour du SSH par clé pub, cela ne sert pas a grand chose...
A+
Messages : 1,023
Sujets : 22
Inscription : Jun 2013
Mon Raspberry est le seul périphérique accessible via le net'. J'ouvre uniquement le port 22 sur le RPI.
Et comme Uggy, j'utilise fail2ban. Il te permet de blacklister une IP qui essaye de s'authentifier en SSH X fois sans succès.
Messages : 1,031
Sujets : 17
Inscription : Jun 2013
Le + important étant surtout de désactiver l'authentification par mot de passe.
PubkeyAuthentication yes
PasswordAuthentication no
UsePAM no
Je n'ai jamais vu de bruteforce sur une authentification par clé... (Même si cela reste possible techniquement et que des outils pour existent... mais après le mec va devoir avoir quelques millions d'années devant lui

)
Messages : 51
Sujets : 7
Inscription : Jun 2013
J'ai installé fail2ban parce qu'au début un pote se connectait par mot de passe, depuis son raspberry est parti dans les choux, quand je lui réparerais je lui génererais des clés pour se connecter, et sinon pour l'accès FTPS.
Sinon Uggy +1pour le bruteforce sur les clés c'est pas gagné
Le problème avec les citations sur Internet, c'est qu'il est difficile de déterminer si elles sont authentiques ou non.
Abraham Lincoln
Messages : 107
Sujets : 14
Inscription : Feb 2014
Existe t'il des tutos pour sécuriser son rpi ???
Débutant en informatique, et avec linux, je suis devenu fan du raspberry pi depuis quelques années déjà !!
Messages : 1,410
Sujets : 49
Inscription : Jun 2013
Google ! Securisation d'une debian ...
Raspberry Pi Home Server :
http://www.pihomeserver.fr
Hotspot Wifi avec portail captif pour Raspberry Pi:
Kupiki Hotspot
Messages : 107
Sujets : 14
Inscription : Feb 2014
Merci bien O
Débutant en informatique, et avec linux, je suis devenu fan du raspberry pi depuis quelques années déjà !!
Messages : 1,410
Sujets : 49
Inscription : Jun 2013
Et il faut savoir dans quel domaine : users ? Web ? Partage ?
Raspberry Pi Home Server :
http://www.pihomeserver.fr
Hotspot Wifi avec portail captif pour Raspberry Pi:
Kupiki Hotspot
Messages : 151
Sujets : 10
Inscription : Apr 2014
Par exemple
regarde ici bien qu'orienté serveur web, la partie 1 donne de bonnes bases je pense.
(Modification du message : 10-05-2014, 11:13:15 par
finopat.)
Messages : 107
Sujets : 14
Inscription : Feb 2014
Merci beaucoup, cette page fait désormais partie de mes favories
Débutant en informatique, et avec linux, je suis devenu fan du raspberry pi depuis quelques années déjà !!
(Modification du message : 10-05-2014, 11:22:18 par
pi35.)
Messages : 107
Sujets : 14
Inscription : Feb 2014
Existe-t-il des antivirus efficaces pour le rpi ??? Je pense en particulier à ClamAV.
Débutant en informatique, et avec linux, je suis devenu fan du raspberry pi depuis quelques années déjà !!
Messages : 1,031
Sujets : 17
Inscription : Jun 2013
Oui clamAV.
Mais il ne sert qu'a scanner des fichier windows (en gros si des pcs windows se servent du Rasp comme stockage)
Messages : 107
Sujets : 14
Inscription : Feb 2014
Y en a-t-il d'autres fonctionnels sur rpi ???
Débutant en informatique, et avec linux, je suis devenu fan du raspberry pi depuis quelques années déjà !!
Messages : 1,023
Sujets : 22
Inscription : Jun 2013
Y'a f-prot, mais qui n'est pas gratuit...
Cf ici :
http://doc.ubuntu-fr.org/antivirus
Globalement, un petit scan avec clamav une fois par nuit, et voilà

. Pas besoin de plus.
Messages : 107
Sujets : 14
Inscription : Feb 2014
Oui mais
Uggy a écrit :Oui clamAV.
Mais il ne sert qu'a scanner des fichier windows (en gros si des pcs windows se servent du Rasp comme stockage)
Débutant en informatique, et avec linux, je suis devenu fan du raspberry pi depuis quelques années déjà !!
Messages : 1,023
Sujets : 22
Inscription : Jun 2013
Oui tout à fait, si tu ne stockes pas de fichiers en provenance de Windows, clamav ne va pas beaucoup servir.
Messages : 107
Sujets : 14
Inscription : Feb 2014
Comment ça ??? Tu parles des .exe ??? Un fichier n'est pas vraiment spécifique d'un OS (Ex : pdf)
Débutant en informatique, et avec linux, je suis devenu fan du raspberry pi depuis quelques années déjà !!
Messages : 1,031
Sujets : 17
Inscription : Jun 2013
pi35 a écrit :Comment ça ??? Tu parles des .exe ??? Un fichier n'est pas vraiment spécifique d'un OS (Ex : pdf)
99% des virus sont des binaires executables spécifiques a Windows. exe bat pif scr etc..
1% peut etre effectivement dans d'autres types de fichier tel que pdf. Dans ce cas, le virus pour être exécuté, va devoir exploiter une vulnérabilité (ou une fonctionnalité à la con) propre à une version spécifique d'un logiciel spécifique (Windows dans 99% des cas).
Pour le pdf il s'agira d'exploiter Acrobat. Je doute qu'Acrobat soit le lecteur de pdf installé par défaut sur le Rasp.
Je doute également que des virus soient massivement ciblés pour exploiter des failles de evince (le lecteur de pdf par défaut généralement sous linux)
Donc as plus de chances de tirer quelques numéros au loto que d'infecter ton Rasp ou en cliquant sur un fichier (exe ou pdf) infecté...
Je ne dis pas qu'il n'existe pas de code malveillant executable sous GnuLinux, je dis juste que les chances d'infecter un GnuLinux en cliquant sur un exe sont nulles.. et en cliquant sur un pdf, sont extrèmement faibles.
Tu veux installer un AV.. pas de pb..(surtout su tu as des fichiers windows (ex: Rasp en NAS) ) Mais qu'est ce qui ne vas pas avec clamAV ?