Lu, En ce qui concerne les clients SFTP, tu peux aussi avoir recours à une clé (rsa,dsa,) pour l'authentification, que tu peux doubler par un mot de passe.
Mehdi Le 22 juin 2010 13:48, Antoine Drochon <anto...@drochon.net> a écrit : > Salut, > > Le 22 juin 10 à 12:15, Jérémy Martin a écrit : > > [couic] >> >> Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP >> (hébergement mutualisés) qui se font hack via une connexion tout à fait >> normale (password ok, pas de brute force). Après analyse auprès de quelques >> clients qu'on a pu contacter, il apparait que la cause est toujours la même >> : un magnifique trojan (on a vu un peu tout ce qui traine sur le net) qui >> logue le clavier, et qui renvoi le password FTP de notre client vers le >> pirate. >> >> Alors, vu qu'on réfléchit à refaire notre infra depuis quelques semaines, >> me vient une question qui peut paraitre bête. Comment se protéger de >> connexion non autorisés de ce type en FTP ? >> [recouic] >> >> Et vous, rencontrez vous la même problématique ? Avez vous trouvé des >> solutions ? >> > > Comme indiqué plus haut, c'est plus un problème de sécurité au sein même > des clients qu'autre chose. > > Malgré tout, quelques pistes : > > - rendre le FTP uniquement utilisable en read-only > - rendre l'accès sécurité SFTP (et autres protocoles en tant soit peu > sécurisés) > - laisser passer les exceptions FTP read-write après moult explications qui > font comprendre que l'accès d'un poste utilisateur, c'est pas tip top. Par > contre un process sur une machine de prod supervisée, je peux comprendre que > conserver le FTP ça a du sens (et surtout un coup d'upgrader à du SFTP et > consors). > > Ca ne stoppera pas l'hémorragie chez certains mais bon, ça fait > effectivement des bons devoir de l'hébergeur. > > ++ > Antoine--------------------------- > > Liste de diffusion du FRnOG > http://www.frnog.org/ > >
