Se connecter

zipyz · 24-07-2013, 09:05:10

Bonjour,

Est-ce que votre raspberry est disponible directement sur le net en ssh ? Si oui voyez vous régulièrement des tentatives d'accès non autorisées (genre attaque par dictionnaire) ? Quelles mesures avez vous prises pour sécuriser l'accès dans ce cas ?

Pour ma part j'utilise portsentry pour empêcher le scan de ports, fail2ban pour bannir les ip ayant trop de tentatives échouées, une config maison d'iptables et l'obligation d'utiliser des clés pour se connecter via ssh.

***chris57100*** · 24-07-2013, 09:23:20

Bonne idée de tuto ça :-)

Chez moi tout est fermé sauf lors de test pour des tutos. ET donc pas de monitoring anti intrusion

***Uggy*** · 24-07-2013, 15:01:19

zipyz a écrit :Est-ce que votre raspberry est disponible directement sur le net en ssh ?

oui

zipyz a écrit :Si oui voyez vous régulièrement des tentatives d'accès non autorisées (genre attaque par dictionnaire) ?

Vu que j'ai l'authentification que par clé publique (et non par mot de passe) et vu que je suis en écoute sur le port 80 pour principalement pouvoir + facilement me connecter dessus meme depuis des acces "restreints".. alors au final, dans mon cas .. non.

zipyz a écrit :Quelles mesures avez vous prises pour sécuriser l'accès dans ce cas ?

voir au dessus.

zipyz a écrit :Pour ma part j'utilise portsentry pour empêcher le scan de ports, fail2ban pour bannir les ip ayant trop de tentatives échouées, une config maison d'iptables et l'obligation d'utiliser des clés pour se connecter via ssh.

J'utilise aussi fail2ban sur d'autres accès tels que FTP/FTPS par exemple et ca fonctionne bien.
Pour du SSH par clé pub, cela ne sert pas a grand chose...

A+

***Jeoffrey*** · 24-07-2013, 17:43:00

Mon Raspberry est le seul périphérique accessible via le net'. J'ouvre uniquement le port 22 sur le RPI.

Et comme Uggy, j'utilise fail2ban. Il te permet de blacklister une IP qui essaye de s'authentifier en SSH X fois sans succès.

***Uggy*** · 24-07-2013, 19:57:02

Le + important étant surtout de désactiver l'authentification par mot de passe.

PubkeyAuthentication yes
PasswordAuthentication no
UsePAM no

Je n'ai jamais vu de bruteforce sur une authentification par clé... (Même si cela reste possible techniquement et que des outils pour existent... mais après le mec va devoir avoir quelques millions d'années devant lui Smile

)

zipyz · 25-07-2013, 09:20:39

J'ai installé fail2ban parce qu'au début un pote se connectait par mot de passe, depuis son raspberry est parti dans les choux, quand je lui réparerais je lui génererais des clés pour se connecter, et sinon pour l'accès FTPS.

Sinon Uggy +1pour le bruteforce sur les clés c'est pas gagné Wink

pi35 · 09-05-2014, 22:34:38

Existe t'il des tutos pour sécuriser son rpi ???

***chris57100*** · 09-05-2014, 22:59:38

Google ! Securisation d'une debian ...

pi35 · 09-05-2014, 23:05:13

Merci bien O Smile

***chris57100*** · 09-05-2014, 23:30:03

Et il faut savoir dans quel domaine : users ? Web ? Partage ?

finopat · 10-05-2014, 11:12:59

Par exemple regarde ici bien qu'orienté serveur web, la partie 1 donne de bonnes bases je pense.

pi35 · 10-05-2014, 11:22:02

Merci beaucoup, cette page fait désormais partie de mes favories Wink

pi35 · 10-05-2014, 13:52:39

Existe-t-il des antivirus efficaces pour le rpi ??? Je pense en particulier à ClamAV.

***Uggy*** · 10-05-2014, 15:31:53

Oui clamAV.
Mais il ne sert qu'a scanner des fichier windows (en gros si des pcs windows se servent du Rasp comme stockage)

pi35 · 11-05-2014, 13:31:18

Y en a-t-il d'autres fonctionnels sur rpi ???

***Jeoffrey*** · 12-05-2014, 13:24:19

Y'a f-prot, mais qui n'est pas gratuit...

Cf ici : http://doc.ubuntu-fr.org/antivirus

Globalement, un petit scan avec clamav une fois par nuit, et voilà Smile

. Pas besoin de plus.

pi35 · 12-05-2014, 17:38:42

Oui mais

Uggy a écrit :Oui clamAV.
Mais il ne sert qu'a scanner des fichier windows (en gros si des pcs windows se servent du Rasp comme stockage)

***Jeoffrey*** · 13-05-2014, 09:31:05

Oui tout à fait, si tu ne stockes pas de fichiers en provenance de Windows, clamav ne va pas beaucoup servir.

pi35 · 13-05-2014, 15:53:00

Comment ça ??? Tu parles des .exe ??? Un fichier n'est pas vraiment spécifique d'un OS (Ex : pdf)

***Uggy*** · 14-05-2014, 00:09:26

pi35 a écrit :Comment ça ??? Tu parles des .exe ??? Un fichier n'est pas vraiment spécifique d'un OS (Ex : pdf)

99% des virus sont des binaires executables spécifiques a Windows. exe bat pif scr etc..
1% peut etre effectivement dans d'autres types de fichier tel que pdf. Dans ce cas, le virus pour être exécuté, va devoir exploiter une vulnérabilité (ou une fonctionnalité à la con) propre à une version spécifique d'un logiciel spécifique (Windows dans 99% des cas).
Pour le pdf il s'agira d'exploiter Acrobat. Je doute qu'Acrobat soit le lecteur de pdf installé par défaut sur le Rasp.
Je doute également que des virus soient massivement ciblés pour exploiter des failles de evince (le lecteur de pdf par défaut généralement sous linux)

Donc as plus de chances de tirer quelques numéros au loto que d'infecter ton Rasp ou en cliquant sur un fichier (exe ou pdf) infecté...

Je ne dis pas qu'il n'existe pas de code malveillant executable sous GnuLinux, je dis juste que les chances d'infecter un GnuLinux en cliquant sur un exe sont nulles.. et en cliquant sur un pdf, sont extrèmement faibles.

Tu veux installer un AV.. pas de pb..(surtout su tu as des fichiers windows (ex: Rasp en NAS) ) Mais qu'est ce qui ne vas pas avec clamAV ?

Se connecter
Utilisateur/Email :
Mot de passe :	Mot de passe oublié ?
	Se rappeler