[Tuto/HowTo] Garder un contrôle discret sur son serveur avec tor et ssh

Avatar du membre
voxdemonix
Messages : 1336
Enregistré le : lun. févr. 02, 2015 7:28 pm

[Tuto/HowTo] Garder un contrôle discret sur son serveur avec tor et ssh

Message par voxdemonix » lun. mai 04, 2015 3:28 pm

musique d'entrain : 1 Hour of Dark Fantasy Country Music

Hidden Service SSH
archive datant de : jeudi 9 octobre 2014 17:07

Technologie utilisées : Tor Hidden Service, SSH

Toute personne disposant d'un serveur (parfois appelé "pc h24" suivant de quel milieu on provient) souhaite généralement pouvoir garder le contrôle même lors de ses déplacements. Généralement on apprécie peu d'ouvrir le NAT vers le serveur SSH par crainte de voir débouler les attaques automatisées (permanente sur internet).

Néanmoins, avec Tor et plus particulièrement sa fonction "Hidden Service", nous pouvons facilement ouvrir un port vers l'extérieur sans qu'il ne soit détectable d'un premier abord. En effet les hiddens service sont assez discret pour ne pas s'afficher lors d'un scan Nmap habituel (qui, généralement, se font sans l'option -sU).

Cela ne signifie pas que vous pouvez vous permettre de laisser un mot de passe administrateur facile a deviner, mais qu'au moins le kéké moyen ne pourra pas vous attaquer.



Bon commençons, tout d'abord il nous faut un serveur, l'exemple suivant sera fait sur raspberry pi (OS: Raspbian, Debian, Ubuntu), mais vous pouvez facilement adapter en fonction de vos distributions.




Tout d'abord, installez Tor et SSH: Maintenant nous allons configurer tor. Vous devez savoir avec quel utilisateur vous allez le lancer. Personnellement je privilégie l'utilisateur lambda (sans droit).
Ouvrez le fichier torrc: Le fichier peut se trouver ailleurs suivant votre distrib.

Cherchez (CTRL+W) "hidden service" et dé-commentez (ou ajouter selon votre envie) les lignes suivantes:
  • Code : Tout sélectionner

        HiddenServiceDir /var/lib/tor/hidden_service/ssh
        HiddenServicePort 22 127.0.0.1:22
Il faut bien entendu créer le dossier /var/lib/tor/hidden_service/ssh . Ensuite redémarrez Tor ( sudo service tor restart )et vérifiez que vous avez bien deux fichiers qui sont apparut a l'emplacement que vous avez spécifié a Tor juste au dessus.

Le fichier "hotsname" contient votre nom de domaine .onion, c'est l'identifiant de votre service sur le réseau, ne le perdez pas, vous en aurez besoin sur le client pour vous connecter.
Pour afficher votre adresse .onion tapez
Voici le type de droit dont doivent disposer les fichiers de l'hidden service (et le dossier les contenant ( sudo chmod 700 -R /var/lib/tor/hidden_service ) :[/color]
  • Code : Tout sélectionner

        -rw------- 1 debian-tor root  23 oct  9 13:17 hostname
        -rw------- 1 debian-tor root 887 oct  4 15:54 private_key
Pour le copier coller, voici l'attribution des droits aux dossiers :
  • Code : Tout sélectionner

    sudo chown debian-tor:root -R /var/lib/tor/hidden_service/
    sudo chmod 700 -R /var/lib/tor/hidden_service/


Rendre le client compatible avec le réseau Tor
Vous devez installer Tor sur votre client et ensuite aller modifier le fichier de configuration de ssh :
Ajoutez les lignes suivantes:
Si vous souhaitez pousser le vice jusqu'au bout et rendre inaccessible SSH sans passer par Tor:
** Attention, avant d'appliquer la suite vérifiez que vous avez bien accès a votre serveur via ssh depuis Tor !!! **
Éditez le fichier sshd_config :

Code : Tout sélectionner

sudo nano /etc/ssh/sshd_config
Cherchez (CTRL+W) "ListenAddress" et a la suite (ou modifiez selon vos choix) ajoutez
Attention, si vous appliquez ceci et que votre hidden service Tor ne fonctionne pas vous ne pourrez plus accéder a votre serveur SSH. Votre SSH ne sera même plus visible lors d'un scan Nmap/Nessus. [_DemonDodo_]


Pour visionner ce que vous venez d'accomplir (doit être fait sur réseau local ou en DMZ): Pour voir le port ouvert par Tor (ce port peut varier, il y en a 1 utilisé par hidden service) (doit être fait sur réseau local ou en DMZ) :
~ Infernalis Creatorem ~
  • Rejoins le côté obscure, on a des cookies !
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
Donation Dash : XmowiBRku3tsEREp7PhpheY4TgeLLDyKdM

Avatar du membre
voxdemonix
Messages : 1336
Enregistré le : lun. févr. 02, 2015 7:28 pm

Re: [Tuto/HowTo] Garder un contrôle discret sur son serveur avec tor et ssh

Message par voxdemonix » mer. avr. 19, 2017 9:12 pm

Script automatique
Ces lignes font tout le job et affichent à la fin l'adresse.onion
  • Code : Tout sélectionner

    sudo su
    apt-get install tor openssh-server
    mkdir -p /var/lib/tor/hidden_service/ssh
    echo "HiddenServiceDir /var/lib/tor/hidden_service/ssh" >> /etc/tor/torrc
    echo "HiddenServicePort 22 127.0.0.1:22" >> /etc/tor/torrc
    chown debian-tor:root -R /var/lib/tor/hidden_service/
    chmod 700 -R /var/lib/tor/hidden_service/
    service tor restart
    cat /var/lib/tor/hidden_service/ssh/hostname
~ Infernalis Creatorem ~
  • Rejoins le côté obscure, on a des cookies !
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
Donation Dash : XmowiBRku3tsEREp7PhpheY4TgeLLDyKdM

Qui est en ligne

Utilisateurs parcourant ce forum : CommonCrawl [Bot] et 0 invité