Bonjours,
je ne retrouve plus le gestionnaire de parefeu «pour les nuls» que l’un de vous m’avait indiqué ici, avec les bonnes règles, il y a sans doute environ 1 an (appliqué sur un vieux PC moribond et remplacé depuis).
Mon problème depuis des années est l’échec systématique de connexion par sftp sur un serveur 1&1-Ionos, alors que j’utilise correctement toutes les données et leurs indications et fichier de config pour Filezilla. Il s’agit d’une connexion SFTP sur le port 22.
Je voudrais donc vérifier et éventuellement modifier si le port 22 est filtré.
Poste plutôt le contenu de iptables-save ? ainsi que la configuration du serveur ssh et quels est le user que tu indique (ainsi que les logs de connexion retrouvé dans le système).
Le tutoriels présent dans le forum est vieux et pas forcément plus pertinent.
En gros soit la& connexion root est refusé depuis la configuration soit le port est fermé, soit autre chose.
Le user est celui que Ionos m’indique (sous la forme u12345678)
Le log affiché par filezilla est le suivant (sauf le numéro remplaacé par 12345678)
Statut :
Connexion à home12345678.1and1-data.host…
Statut :
Using username u12345678.
Statut :
Access denied
Erreur :
Échec de l’authentification.
Erreur :
Erreur critique : Impossible d’établir une connexion au serveur
est-ce le fichier /etc/ssh/sshd_config ?
#grep -Ev '^#|^$' /etc/ssh/sshd_config
Include /etc/ssh/sshd_config.d/*.conf
KbdInteractiveAuthentication no
UsePAM yes
X11Forwarding yes
PrintMotd no
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
Il y a aussi un fichier (vide) /etc/ssh/ssh_known_hosts -> /var/lib/openssh-known-hosts/ssh_known_hosts
Cette option n’a pas d’utilité si tu ne fait pas d’affichage distant (tu lance Firefox sur la machine distante mais il s’affiche sur ton PC local).
Et ce qu’on utilise pas, il vaut mieux le désactiver. C’est un principe de base en sécurité.
ne pas utiliser, tu dois utiliser ton fichier local dans ton $HOME.
Pour ce qui est de ton parefeu local:
Tu refuses tout en entrée
Tu acceptes tout en sortie (sauf utilisation de proxy, mais je ne pense pas que tu en sois là
Sur ton serveur Ionos, il faut que tu autorise l’accès en SSH (tu peux éventuellement le limiter à ton PC local (adresse de sortie publique bien sur); sinon si tu es susceptible d’y aller de n’importe ou tu ne précises pas d’IP particulière.
Personnellement pour paramétrer mes pare-feux, j’utilise Webmin (je ne le lance que quand j’en ai besoin sinon il n’est pas actif), que ce soit avec iptables ou shorewall (j’utilise pas mal shorewall)
C’est clair le serveur refuse ton accès et fais échoué du coup ton authentification.
Tu ne cherchera pas à te connecter en dehors du chroot ?
Ce n’est à mon humble avis pas un serveur auquel tu cherches à accéder mais à un espace web mutualisé il y a une procédure pour te connecter sur leur bousin, mais je parie pour que tu ne cherches pas à te connecter au bon endroit de ton chroot.
C’est pas normale il devrait à minima fourni les informations sur les tables filter, mangle et nat
Inutile sur ta machine je parlé de :
Je pensé à un serveur virtuel ou physique sur lequel il y aurait un pare feux mais ce n’est pas le cas.
De toute façon c’est openbar pour l’instant ton firewall.
Pourl a configuration de ce dernier ouvre un autre fil au besoin, j’ai trouvé ça (car de souvenir tu es sur XFCE) :
Si, bien sur, c’est au contraire ce que je veux: accéder à mon espace web en tant que l’utilisateur non-root ( eric en local, u12345678 sur le serveur mutualisé de Ionos)
effectivement, j’en suis si loin que je croyais qu’un pare-feu et un proxy étaient la même chose
je ne le trouve pas dans mes dépots bookworm.
En cherchant avec le filtre pare-feu, je vois que ufw est installé
Sauf erreur de ma part, c’est la config de l’installeur (Bookworm, Mate)
Que dois-je faire pour corriger cette anomalie?
J’ai suivi scrupuleusement les indications de Ionos, y compris sa configuration de Filezilla.
(Autrefois, dans la précédente décennie j’utilisai sshfs, mais les commandes sur les répertoires distants pouvaient être très lentes. En suite j’ai découvert un navigateur graphique analogue à Filezilla)
Si je résume ce que je crois avoir compris:
mon parefeu ne fait rien donc n’est pas en question dans mon échec réitéré à retrouver ma connexion avec mon (vieil) espace web.
donc je dois l’activer (tout refuser en entrée, tout accepter en sortie) et je peux utiliser fwbuilder (ou ufw ?)
iptables-save indique qu’il y a autre-chose à faire (serait-ce la cause de mon échec?)
Merci Clochette et Zargos,
pardonnez mon peu de réactivité, vous si généreusement réactifs, mais les 2 jours qui viennent vont beaucoup m’absorber.
Non justement un chroot est justement pour permettre à un utilisateur de se connecter dans son espace personnel ( /home du user) sans qu’il ne soit possible d’en sortir, et c’est exactement comme ça que les hébergeurs gèrent les espaces web fourni à leur client, ils est hors de question que tu puisse accéder à autre chose que ton espace web (ce que je te précise jusrtement).
Je n’en sais fichtre rien, normalement la commande devrait te retourner justement des informations et non pas rien
Debian 12 doit encore gérer la compatibilité avec iptables mais peut-être voir aussi avec nftable
Dans ce cas voir avec eux, l’ouverture d’un ticket sera sans doute plus pratique, vue que ton firewall est openbar le problème est soit que tu cherche à rte connecter en dehors du chroot (ça m’étonnerai), que ton user est bloqué car trop de tentatives …