Ldfa Posté(e) le 30 décembre 2019 Partager Posté(e) le 30 décembre 2019 Sur un serveur dédié, une des premières règles de base à appliquer est de modifier le port 22 du serveur SSH par autre chose. Cependant, avec un outil comme ZenMap il est très facile de connaître le port d’écoute du serveur SSH. Pour « tromper » les futurs attaquants, le serveur SSH va être paramètré pour écouter sur le port 443. Le problème est si le port 443 est déjà utilisé par service web alors les 2 services rentrent en conflis. Pour régler le problème, une couche sera ajouter au serveur : SSLH. SSLH aura pour rôle de gérer les requêtes venant du port 443 et les diriger au service en question (web ou SSH).Il a été déjà vue sur le blog, comment configurer SSLH avec Apache2. C’est le tour de configurer SSLH avec NGINX sur Debian Wheezy. De plus, le fait de paramétrer l’écoute du serveur SSH sur le port 443, cela permet de passer les règles de filtrages des proxys entreprise pour accéder à son serveur dédié. Pour installer sslh sur le serveur, apt recommande d’installer Apache2 : apt-cache show sslh Package: sslh Version: 1.13b-3.2 Installed-Size: 166 Maintainer: Guillaume Delacour <gui@iroqwa.org> Architecture: amd64 Depends: libc6 (>= 2.4), libconfig9, debconf (>= 0.5), adduser, lsb-base (>= 3.0-6), update-inetd Recommends: apache2 | httpd, openssh-server | ssh-server ..... Cependant, ici le système est paramétré avec NGINX donc on va préciser à apt de ne pas installer les paquets recommandés : apt-get install --no-install-recommends sslh Le port SSL des sites web hébergés par le serveur vont être changés par 1443 via la commande sed : cd /etc/nginx/site-availables sed -i -e "s/443/1443/g" * Relance du service nginx pour la prise en compte du changement du port SSL : service nginx restart Edition du fichier de configuration /etc/default/sslh: nano /etc/default/sslh Modifier le port SSL préalablement défini et passer RUN à yes : RUN=yes DAEMON_OPTS="-u sslh -p 0.0.0.0:443 -s 127.0.0.1:666 -l 127.0.0.1:1443 -P /var/run/sslh.pid" Démarrer SSLH : /etc/init.d/sslh start Ne pas oublier de supprimer la règle d’ipables, qui correspondait au port d’écoute du service SSH.Pour commencer, il faut lister et numéroter toutes les règles d’iptables : iptables -L --line-numbers Ensuite repérer le numero de la ligne qui correrspond à la règle SSH et la supprimer : iptables -D INPUT 9 ##9 est un exemple de numéro de ligne A partir d’une autre machine, faire un scan des ports soit avec nmap ou son outil graphique ZenMap : Afficher l’article complet Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.