ça fait un moment que j'utilise TMUX, c'est un excellent outil, très bonne vidéo et bon courage pour la suite ! :)
Avec PermitRootLogin
à prohibit-password
il y a très très peu de chance de se faire compromettre avec un brute-force. Et au pire si on est peu frilleux, avec fail2ban c'est réglé.
À mon sens la sécurisation elle est plus à faire au niveau des services qui sont exposés. Déjà à commencer par n'exposer que les ports nécessaires, bloquer tout le reste dans le pare-feu. Ensuite faire tourner les services avec des utilisateurs restreints, puis un SELinux (ou AppArmor) pour limiter le périmètre des éventuels dégâts d'une faille.
Salut Nikaro, Très intéressant ton feed, je vais me pencher sur AppArmor qui m'a l'air plutôt pas mal foutu, merci pour cette découverte, autant je connais très bien SE Linux mais pas AppArmor, on en apprend tous les jours ! :)
1 petite chose à redire : - sudo est très mal utilisé dans ce cas, car si l'attaquant chope le mdp de toto, il aura un accès full root sur la machine (sudo su -). sudo doit être utilisé en mode restrictif, on refuse tout, et autorise au compte goute. Surtout dans ce cas ou ssh est accessible via mdp.
Salut xataz, Effectivement, j'ai rectifié le tire en proposant la création d'un utilisateur non-root (n'étant ni dans le groupe “sudo”, ni dans le groupe “admin”) et en spécifiant au niveau de la conf SSH que seul le groupe de cet utilisateur peut se connecter. Merci pour ton retour, c'est mon premier article ! :)
Dommage… Leur contenu était vraiment très intéressant… :/