Outils pour utilisateurs

Outils du site


services:accès_à_distance

Ceci est une ancienne révision du document !


Table des matières

Note : l'intérêt de cette page reste à prouver, ainsi que son emplacement et son nom correct.

Principes

Il existe grosso-modo deux types de connexions externes sécurisées pour effectuer la maintenance d'une machine :

  • SSH
  • SNMP dans un canal chiffré.

SSH

Selon votre distribution, le serveur SSH est fourni dans un paquet nommé ssh-server ou openssh-server, qu'il vous suffit d'installer. Pour pouvoir accéder à votre serveur depuis l'Internet, vous devrez définir une redirection de port pour le TCP 22.

Il est parfois recommandé de modifier le port d'écoute du serveur SSH (au niveau du routeur en cas de NAT, directement sur le serveur sinon). En effet, le port standard, TCP 22, est souvent l'objet d'attaques par force brute. Ces attaques sont cependant peu dangereuses si vous avez un bon mot de passe, et peuvent être bloquées avec des logiciels comme fail2ban.

On recommande également d'interdire à root de se connecter directement (option de configuration PermitRootLogin) : en effet, un tel nom d'utilisateur générique permet à un attaquant de n'avoir à deviner que le mot de passe. Sachez également que OpenSSH propose un mécanisme d'identification par clef publique, bien plus résistante que les mots de passe.

SNMP

Ici c'est la solution lourde qui permet d'utiliser des outils graphiques. Mais dans tout les cas il faut sécuriser l'accès SNMP par un canal de chiffrement authentifié… comme un canal SSH. Cela reste une solution lourde dédiée aux outils graphiques.

services/accès_à_distance.1251965703.txt.gz · Dernière modification: Thu Sep 3 10:15:03 2009 par elessar