Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 10/10/2017, à 19:54

louloubutu

Connexion SSH serveur ubuntu deux interfaces reseau

Bonjour,
J'ai installé un serveur sous ubuntu mate 16.04 64bit (desktop... je sais c'est pas top...) qui comporte deux interfaces réseau (HPDL380). j'utilise une l'interface1 en .200 pour connecter le serveur sur l’extérieur et l'interface2 en .25 pour faire la maintenance en SSH. Tout cela est raccordé sur une neuf-box (houla c'est pas jeune ça...). Le firewall du serveur autorise la .200 sur le port 80 et la .25 sur le port 22. Le firewall de la neuf-box redirige le port 80 sur l'interface .200. Jusque là pas de soucis, mais quand les deux cartes sont connectées en même temps sur la box il m'est impossible de me connecter en SSH (il tombe en time out) et quand je débranche la .200 la connexion SSH remarche! Quand je suis déjà connecté en SSH et que je rebranche la .200 tout marche! Pc client ubuntu mate desktop 16.04 32bit.
Je fais donc appel à une bonne âme pour m'aider je ne sais pas ou chercher... ni comment résoudre ce soucis.
Merci par avance

Hors ligne

#2 Le 10/10/2017, à 22:37

Vobul

Re : Connexion SSH serveur ubuntu deux interfaces reseau

Attends, pourquoi utiliser deux interfaces réseau ?

C'est se compliquer la vie pour pas grand chose…

Regarde si le kernel te donne un message d'erreur.

Aussi, change le port, mets pas 22, mais autre chose, le port 22 tout le monde va venir y fouiner.


Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#3 Le 11/10/2017, à 07:15

Zakhar

Re : Connexion SSH serveur ubuntu deux interfaces reseau

Ca ne peut pas marcher d'avoir deux cartes sur le même réseau local parce que le kernel ne va pas pouvoir router, sauf si tu as mis des routes expressement.

Montre nous donc le résultat de :

route -n
ifconfig

Si tu veux gérer deux cartes, il faut leur attribuer des réseaux différents.
Le standard derrière une box serait :

192.168.0.N
192.168.1.N

Bien sûr dans ce cas elles ne sont pas toutes les deux branchées à la box !

La première est branchée, la seconde sert à du routage interne.

Si tu veux brancher les deux (on ne voit pas bien quel est ton objectif), il faudra que tu crées des sous réseaux par exemple :
192.168.0.1 - 192.168.0.127
192.168.0.128 - 192.168.0.254

Rien de tout cela ne sera 100% automatique, tu vas avoir du paramétrage "à la main".

Mais encore une fois XY Problem... qu'est-ce que tu cherchais à faire à la base pour avoir cette (mauvaise) idée de brancher les 2 cartes à ta box.

... en réalité le seul intérêt de faire cela serait le "link-aggregation", mais je doute qu'une neufbox fasse ça !


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne

#4 Le 11/10/2017, à 07:54

louloubutu

Re : Connexion SSH serveur ubuntu deux interfaces reseau

Bonjour et merci de vos réponses!
Effectivement comme vous l'avez constaté je suis autodidacte (ça a dubon et du mauvais...)! J'ai voulu deux cartes réseau car je souhaitai sécuriser au maximum l’administration du serveur en ne rendant accessible le port 22 qu'en local et le port 80 sur internet.
Mais suite à vos remarques je vais donc débrancher une carte réseau. Le firewall de la neuf box est-il suffisamment "costaud" pour ne pas laisser passer le port 22 si on ne lui a pas demandé?
Merci encore et désolé je suis novice sur le sujet.

Hors ligne

#5 Le 11/10/2017, à 15:48

Vobul

Re : Connexion SSH serveur ubuntu deux interfaces reseau

Ouais ok, tu prends pas le problème dans le bon sens. Pour sécuriser un accès SSH:

- disable password auth
- lire ça https://stribika.github.io/2015/01/04/s … shell.html et appliquer (attention depuis la dernière update de ssh les suites MAC ne sont plus bonnes, mais le reste est bon à prendre)
- mettre sur un port pas commun (genre pas 22 ou 2222)
- tu peux même faire du port knocking
- tu peux aussi whitelister l'ip de chez toi
- utiliser des clés ed25519
Avec tout ça tu peux le laisser visible depuis le réseau externe sans soucis.

Mais le coup d'avoir deux interfaces c'est une idée à la con. Et y'a pas de firewall costaud ou pas. Ça soit passe, soit ça passe pas. Mais l'attaquant ne peut pas envoyer de paquet TCP avec une plus grande "force" sur le firewall pour le "faire tomber". C'est de l'informatique, c'est 0 ou 1. Par contre y'a des firewalls mal configurés, ça oui. Mais c'est autre chose.


Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#6 Le 11/10/2017, à 15:53

HPIR40

Re : Connexion SSH serveur ubuntu deux interfaces reseau

Bonjour

aprés je déconseille d'utiliser le port 22, il y a des milliards de robots qui scannent le port 22 à la recherche d'une connexion.

A lire pour le ssh: https://korben.info/tuto-ssh-securiser.html

donc:

1/ tu choisi un port pour ton ssh, par exemple le port 5622 que tu configure comme tel dans ton ssh
2/ sur la box tu redirige le port 5622 vers l'IP de ta machine

quand tu te connectera en ssh en local comme à partir du WAN tu indiquera que tu te connecte en ssh sur le port 5622

ensuite, c'est bien beau mais il faut protéger tout cela

donc respecte bien les regles indiquées dans le lien que je t'ai donné

Ensuite installe aussi fail2ban sur ton serveur, ça éjectera les curieux qui auront trouvé ton port SSH et chercherons à entrer dedans (fail2ban les banniera pour x temps après x tentatives).

Enfin tu peux aussi utiliser une clé

mais cela est contraignant et pas vraiment utile si tu n'utilise pas toujours la même machine pour te connecter depuis l'extérieur vers ton serveur ssh

Dernière modification par HPIR40 (Le 11/10/2017, à 15:55)

Hors ligne

#7 Le 11/10/2017, à 18:52

louloubutu

Re : Connexion SSH serveur ubuntu deux interfaces reseau

Merci à vous deux pour votre aide! J'ai du boulo pour mettre tout ça en place et bien le comprendre en tout cas sans vous c'était mal barré!
Au cas ou cela vous intéresse ce sera pour héberger une plateforme collaborative (moodle) sur le sujet des Nanofermes (production de nourriture et autre dans son jardin). Donc vous comprenez maintenant que mon fort n'est pas les serveurs mais plus tôt les légumes!
@ bientôt et merci.

Hors ligne

#8 Le 11/10/2017, à 22:36

Vobul

Re : Connexion SSH serveur ubuntu deux interfaces reseau

HPIR40 a écrit :

Enfin tu peux aussi utiliser une clé

mais cela est contraignant et pas vraiment utile si tu n'utilise pas toujours la même machine pour te connecter depuis l'extérieur vers ton serveur ssh

Je me permet de te corriger : IL FAUT UTILISER UNE CLÉ. Tu disable l'auth par password et t'utilises une clé ED25519 128 bits (regarde mon lien, il est de très bonne qualité, le lien korben.info c'est du p'tit jeu). C'est la base.

louloubutu a écrit :

le sujet des Nanofermes (production de nourriture et autre dans son jardin).

Cool ! Bon courage, partage le lien ici quand ce sera en place ! smile


Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#9 Le 11/10/2017, à 23:27

Zakhar

Re : Connexion SSH serveur ubuntu deux interfaces reseau

Vobul a écrit :

Ouais ok, tu prends pas le problème dans le bon sens. Pour sécuriser un accès SSH:

- disable password auth
- lire ça https://stribika.github.io/2015/01/04/s … shell.html et appliquer (attention depuis la dernière update de ssh les suites MAC ne sont plus bonnes, mais le reste est bon à prendre)
- mettre sur un port pas commun (genre pas 22 ou 2222)
- tu peux même faire du port knocking
- tu peux aussi whitelister l'ip de chez toi
- utiliser des clés ed25519
Avec tout ça tu peux le laisser visible depuis le réseau externe sans soucis.

Tu as oublié un truc essentiel... mon Syno (NAS) est configuré un peu en mode parano comme ça, mais en plus il est par défaut éteint (power off).

- Ca commence donc par un WakeOnLan (merci Free qui permet de faire ça à distance) pour l'allumer.
- Un port-knock pour activer les règles de firewall me permettant de me connecter à mon VPN depuis l'IP qui "knock" (et seulement celle-là) -bien sûr ce n'est pas le port 1194 qu'expose la Freebox !-
- Connection au VPN avec certificat, lequel certificat se trouve que une clé USB chiffrée (même si on me pique la clé USB les scripts et les certificats sont chiffrés.. en plus une clé formatée en ext4, le co**lon de W$ien va penser qu'elle n'est pas formaté en la branchant à son PC !)
- Une fois la connection VPN établie, la connexion SSH nécessite aussi un (autre) certificat.
- Quand le travail à distance est terminé, le port-knock permet aussi de fermer l'adresse autorisé, si le NAS continue à tourner (par exemple lancement d'une sauvegarde sur le cloud), sinon extinction du NAS.

Voila, comme ça c'est à peu près sécurisé...
Même s'il y a des failles (il y a nécessairement qu'on n'a pas encore publiquement découvertes) la probabilité que toutes les couches de sécurité aient des failles exploitables pour passer toutes les barrières devient complètement infinitésimale.

... et bien sûr pas besoin de 2 cartes réseaux !

2 cartes réseaux c'est utile principalement si tu veux transformer ta machine Linux en routeur, pour protéger par exemple un réseau domestique qui serait branché "derrière" ce PC.

Cependant, tu va avoir beaucoup à apprendre pour arriver à sécuriser comme le font les box, notamment la Freebox qui va nettement plus loin que les autres (elle se défend même bravement contre les attaques WEP... mais bon le protocole est tellement mité qu'à la fin elle est bien obligé de céder. Les autres box laissent juste faire en observant passivement !)

Dernière modification par Zakhar (Le 11/10/2017, à 23:28)


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne

#10 Le 12/10/2017, à 08:19

louloubutu

Re : Connexion SSH serveur ubuntu deux interfaces reseau

Ok merci pour ces compléments. Dans un premier temps je vais fermer le port SSH sur l’extérieur et j'administrerai depuis mon réseau local. Au pire je ferai directement l’administration sur le serveur. Heureusement j'ai une version desktop ça sera plus facile pour moi!

Le lien du site: nanofermes.com . Il n'est pas actif pour le moment sauf quand je bosse dessus. Mettez l'url dans un carton et ressortez là en 2018!

Hors ligne

#11 Le 12/10/2017, à 08:50

Vobul

Re : Connexion SSH serveur ubuntu deux interfaces reseau

Zakhar a écrit :

Tu as oublié un truc essentiel... mon Syno (NAS) est configuré un peu en mode parano comme ça, mais en plus il est par défaut éteint (power off).

Ahah, je ne connaissais pas ce niveau-là ! smile

Mais c'est pas trop possible quand ton serveur héberge des sites web et autres services… Il est vrai que le serveur le plus sécure, c'est celui qui est éteint ! big_smile


Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#12 Le 16/10/2017, à 16:58

Zakhar

Re : Connexion SSH serveur ubuntu deux interfaces reseau

Vobul a écrit :

Il est vrai que le serveur le plus sécure, c'est celui qui est éteint ! big_smile

Exactement ! (même si c'est pas un serveur c'est vrai aussi d'ailleurs) smile


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne

#13 Le 01/12/2017, à 16:18

JujuLand

Re : Connexion SSH serveur ubuntu deux interfaces reseau

Vobul a écrit :
HPIR40 a écrit :

Enfin tu peux aussi utiliser une clé ... mais cela est contraignant et pas vraiment utile si tu n'utilise pas toujours la même machine pour te connecter depuis l'extérieur vers ton serveur ssh

Je me permet de te corriger : IL FAUT UTILISER UNE CLÉ. Tu disable l'auth par password

Tout à fait d'accord avec Vobul, il est impératif d'utiliser une clé, et de désactiver l'authentification par mot de passe.

Quand au nombre de client, ce n'est pas un problème, et çà n'a rien de contraignant.
Il suffit de mettre autant de clés que de client dans le fichier authorized_keys du seveur que de clients qui se connecteront.

A+

Dernière modification par JujuLand (Le 01/12/2017, à 16:18)


Xubuntu 16.04 > Dell DM061 (2007) + Dell Inspiron 531 (2008)
Xubuntu 16.04 > Asus X51L (2009) + MSI GX723 (2009)
Xubuntu 22.04 > HP 15BA048NF (2018)

Hors ligne

#14 Le 29/06/2018, à 15:01

louloubutu

Re : Connexion SSH serveur ubuntu deux interfaces reseau

Bonjour à tous,

J'ai finalement pris l'option de faire héberger le site par un hébergeur web. C'est ou final et pour le moment bien moins cher que l'aurait été ma facture d’électricité! Cependant, je garde sous le coude la solution du serveur pour plus tard.

Le site est en cours de construction et sera normalement accessible totalement en septembre. vous pouvez déjà jeter un œil à l'adresse suivante: https://nanofermes.com et sur la plateforme (suivre le lien).

A bientôt!

Hors ligne

#15 Le 30/06/2018, à 22:08

Vobul

Re : Connexion SSH serveur ubuntu deux interfaces reseau

C'est dommage de devoir créer un compte pour consulter les articles.


Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#16 Le 02/07/2018, à 19:18

louloubutu

Re : Connexion SSH serveur ubuntu deux interfaces reseau

Bonjour Vobul,

Je note la remarque! Le site n'est pas encore fini il n'est pas possible pour le moment de s'inscrire, normalement ce sera bon pour septembre.

Merci pour le remarque.

Hors ligne