Path: ...!eternal-september.org!reader02.eternal-september.org!.POSTED!not-for-mail From: Stephane Tougard Newsgroups: fr.comp.securite Subject: Re: Tentatives =?UTF-8?Q?d=27acc=C3=A8s?= SSH Date: Sat, 22 Jan 2022 10:11:04 +0100 Organization: A noiseless patient Spider Lines: 22 Message-ID: <8ausbi-4hi1.ln1@superman.unices.org> References: Reply-To: stephane@unices.org Mime-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Injection-Info: reader02.eternal-september.org; posting-host="ee5ab9835ec7cd286ef2dafe9a086015"; logging-data="22001"; mail-complaints-to="abuse@eternal-september.org"; posting-account="U2FsdGVkX1/rG0qFDYLODXqS5yqyfxaFKFOXGczj22Q=" User-Agent: slrn/1.0.3 (FreeBSD) Cancel-Lock: sha1:0lWBq8YDnf55wAf9+3bftSt/LE8= Bytes: 2096 On 2022-01-22, Marc SCHAEFER wrote: >> On peut aussi avoir un couple login/password raisonnablement compliqué >> et dormir sur ses deux oreilles. > > Et je suis d'accord avec ça, mais quand tu fais du hosting de clients, > les clients peuvent faire n'importe quoi. Mon dernier piratage avéré (*) > date de 2009 quand un client avait installé un compte demo avec mot de > passe demo sur un SSH ouvert sur Internet. On peut aussi mettre en place une politique de mots de passe. N'importe quel full stack dev à peine sortie de l'école le sait, c'est dommage d'avoir 40 ans de métier et de galérer à cause de problèmes aussi simples. Je me demande comment les mecs de SDF font avec un NetBSD et plus de 13,000 comptes utilisateurs accessibles en SSH et en TELNET. -- On leur dit: "eux gentils". Ils disent "OK" On leur dit: "eux méchants". Ils disent "OK" Qu'est ce qu'ils sont cons ces pauvres !