Quel est le risque d'exécuter un serveur domestique sécurisé derrière SSH?

Dec 5, 2024
Confidentialité et sécurité
CONTENU NON CACHÉ

Lorsque vous avez besoin d'ouvrir quelque chose sur votre réseau domestique sur Internet, un tunnel SSH est-il un moyen suffisamment sûr de le faire?

La session de questions et réponses d’aujourd’hui nous est offerte par SuperUser, une subdivision de Stack Exchange, un regroupement de sites Web de questions-réponses géré par la communauté.

The Question

Le lecteur SuperUser Alfred M. veut savoir s'il est sur la bonne voie en matière de sécurité de connexion:

J'ai récemment mis en place un petit serveur avec un ordinateur bas de gamme exécutant debian dans le but de l'utiliser comme référentiel git personnel. J'ai activé ssh et j'ai été assez surpris de la rapidité avec laquelle il a souffert d'attaques par force brute et autres. Puis j'ai lu que c'est assez fréquent et appris les mesures de sécurité de base pour parer à ces attaques (beaucoup de questions et de doublons sur le serveur le traitent, voir par exemple celui-là ou celui-là ).

Mais maintenant je me demande si tout cela en vaut la peine. J'ai décidé de configurer mon propre serveur principalement pour le plaisir: je pouvais simplement me fier à des solutions tierces telles que celles proposées par gitbucket.org, bettercodes.org, etc. suffisamment de temps pour y consacrer pour devenir un expert et être presque certain que j'ai pris les bonnes mesures de prévention.

Afin de décider si je continuerai à jouer avec ce projet de jouet, j'aimerais savoir ce que je risque vraiment de le faire. Par exemple, dans quelle mesure les autres ordinateurs connectés à mon réseau sont-ils également menacés? Certains de ces ordinateurs sont utilisés par des personnes ayant encore moins de connaissances que les miennes exécutant Windows.

Quelle est la probabilité que j'obtienne de vrais problèmes si je respecte les directives de base telles que le mot de passe fort, l'accès root désactivé pour ssh, le port non standard pour ssh et éventuellement la désactivation de la connexion par mot de passe et l'utilisation de l'une des règles fail2ban, denyhosts ou iptables?

En d'autres termes, y a-t-il de gros méchants loups que je devrais craindre ou est-ce surtout de chasser les enfants des scripts?

Alfred doit-il s'en tenir à des solutions tierces ou sa solution DIY est-elle sécurisée?

La réponse

Le contributeur SuperUser TheFiddlerWins rassure Alfred que c'est assez sûr:

IMO SSH est l'une des choses les plus sûres à écouter sur Internet ouvert. Si vous êtes vraiment inquiet, faites-le écouter sur un port haut de gamme non standard. J'aurais toujours un pare-feu (au niveau de l'appareil) entre votre box et Internet et j'utiliserais simplement la redirection de port pour SSH, mais c'est une précaution contre d'autres services. SSH lui-même est sacrément solide.

je avoir des gens ont parfois frappé mon serveur SSH domestique (ouvert à Time Warner Cable). Jamais eu d'impact réel.

Un autre contributeur, Stéphane, souligne à quel point il est facile de sécuriser davantage SSH:

La configuration d'un système d'authentification par clé publique avec SSH est vraiment trivial et prend environ 5 minutes à installer .

Si vous forcez toutes les connexions SSH à l'utiliser, cela rendra votre système à peu près aussi résilient que vous pouvez l'espérer sans investir BEAUCOUP dans l'infrastructure de sécurité. Franchement, c’est tellement simple et efficace (tant que vous n’avez pas 200 comptes - cela devient compliqué) que ne pas l’utiliser devrait être une infraction publique.

Enfin, Craig Watson propose une autre astuce pour minimiser les tentatives d'intrusion:

Je gère également un serveur git personnel ouvert sur le monde sur SSH, et j'ai également les mêmes problèmes de force brute que vous, donc je peux comprendre votre situation.

TheFiddlerWins a déjà abordé les principales implications de sécurité de l'ouverture de SSH sur une adresse IP accessible au public, mais le meilleur outil de l'OMI en réponse aux tentatives de force brute est Fail2Ban - un logiciel qui surveille vos fichiers journaux d’authentification, détecte les tentatives d’intrusion et ajoute des règles de pare-feu au local de la machine iptables pare-feu. Vous pouvez configurer à la fois le nombre de tentatives avant une interdiction et la durée de l'interdiction (ma valeur par défaut est de 10 jours).

Avez-vous quelque chose à ajouter à l'explication? Sonnez dans les commentaires. Vous voulez lire plus de réponses d'autres utilisateurs de Stack Exchange férus de technologie? Consultez le fil de discussion complet ici .

Self-Hosting & Home Server Security Tips

🔒 Securing SSH Server: Configuration

How To Secure A Server

CPanel Tutorial: Connect With Server Via SSH With "PuTTY"

FreeNAS 11.2 - How To Remote Login Via Secured Shell (SSH)

Confidentialité et sécurité - Most Popular Articles

Comment vérifier si votre mot de passe a été volé

Confidentialité et sécurité Jul 10, 2025

Beaucoup les sites Web ont divulgué des mots de passe . Les attaquants peuvent télécharger des bases de données de noms d'utilisateur et de mots de passe et les u..

Comment configurer le chiffrement BitLocker sous Windows

Confidentialité et sécurité Oct 5, 2025

CONTENU NON CACHÉ BitLocker est un outil intégré à Windows qui vous permet de crypter un disque dur entier pour une sécurité renforcée. Voici comment le configurer. ..

Les extensions de navigateur sont un cauchemar de confidentialité: arrêtez d'en utiliser autant

Confidentialité et sécurité Jun 29, 2025

Les extensions de navigateur sont beaucoup plus dangereuses que la plupart des gens ne le pensent. Ces petits outils ont souvent accès à tout ce que vous faites en ligne, ils peuv..

Pourquoi les fichiers supprimés peuvent être récupérés et comment vous pouvez l'empêcher

Confidentialité et sécurité Jun 8, 2025

Lorsque vous supprimez un fichier, il n’est pas vraiment effacé - il continue d’exister sur votre disque dur, même après l’avoir vidé de la corbeille. Cela vous permet (ai..

Nouveautés de la mise à jour anniversaire de Windows 10

Confidentialité et sécurité Jul 26, 2025

CONTENU NON CACHÉ La deuxième grande mise à jour de Windows 10, appelée «mise à jour anniversaire», est enfin là. Il s'agit d'une énorme mise à jour qui touche tous les ..

Qu'est-ce que le cryptage et pourquoi les gens en ont-ils peur?

Confidentialité et sécurité Nov 30, 2024

CONTENU NON CACHÉ Avec les récents actes de terrorisme à Paris et au Liban, les médias et le gouvernement ont utilisé le mot «cryptage» comme s'il était en quelque sorte �..

Comment supprimer les anciennes demandes d'amis Facebook

Confidentialité et sécurité Jan 26, 2025

CONTENU NON CACHÉ Si vous avez un compte Facebook depuis des années, vous avez peut-être envoyé plusieurs demandes d'amis lors de la première ouverture de votre compte. Toute..

Comment créer des archives Zip ou 7z chiffrées sur n'importe quel système d'exploitation

Confidentialité et sécurité Nov 29, 2024

Les fichiers Zip peuvent être protégés par mot de passe, mais le schéma de cryptage Zip standard est extrêmement faible. Si votre système d'exploitation possède un moyen int�..

Catégories