SSH sur le port 22 c’est pratique et changer de port n’est pas vraiment une solution plus sécurisante. Récemment j’ai eu beaucoup d’attaque sur le port 22 ce qui surchargeait mon pauvre raspberry pi en nombre de process.
J’ai pensé à mettre en place port knocking qui permet de n’ouvrir le port 22 uniquement en frappant à la porte d’une série de port défini à l’avance.
Mais pour moi c’est trop de contrainte :
Je me suis qu’on devait bien pouvoir faire la même chose mais sans knock, et j’ai fini par trouver ce site ⇒ https://www.adayinthelifeof.nl/2012/03/12/why-putting-ssh-on-another-port-than-22-is-bad-idea/
Il suffirait d’utiliser des règles iptables pour tagguer notre connexion lorsque l’on essaie de se connecter sur un port défini puis d’autoriser cette connexion sur le port ssh
${IPTABLES} -A INPUT -p tcp --dport 3456 -m recent --set --name portknock ${IPTABLES} -A INPUT -p tcp --syn --dport 22 -m recent --rcheck --seconds 60 --name portknock -j ACCEPT ${IPTABLES} -A INPUT -p tcp --syn --dport 22 -j DENY
Après on peut toujours s’amuser à compliquer la chose en rajoutant d’autre port et ainsi définir une série.
C’est peut être facile à détourner car un faisant un scan de tous les ports et en réessayant le port ssh, on devrait pouvoir réussir à tenter une connexion. Mais c’est très facile à mettre en place :)
Quand j’aurai le temps, j’essayerai de faire un script qui permettra de mettre en plus quelque chose de plus corsé :)