bonsoir, désolé pour le long mail, mais ca peut valloir le coup:
pour détecter et bannir à jamais les attaques de force brute, je conseille, à tes risques (de scier la branche sur laquelle tu est) d'utiliser les tcpwrappers. (man hosts_access; man hosts_options) Exemple d'utilisation: Si sshd est configuré pour suivre les tcpwrappers, (voir le bon paramètre dans /etc/ssh/sshd_config) tu peux installer un daemon du genre "denyhosts" qui va remplir automatiquement le ficher /etc/hosts.deny pour interdire les tentatives de login ssh depuis une adresse IP qui a raté (par exemple) 3 logins de suite. Mais attention avec ce genre de chose: ca marche si bien que si un jour tu essaye 3 fois ton mot de passe sans succès (parceque tu l'a oublié) tu sera à jamais banni et sshd sera fermé pour ton adresse IP. C'est le genre de truc qui arrive forcément une fois quand on débute. Le mieux c'est d'avoir en plus une clé ssh que tu transporte de machine en machine afin de ne jamais avoir à taper de mot de passe en interactif avec le serveur, et ainsi réussir à tous les coups tes logins. Par défaut, "denyhosts" est un peu excessif et tu risque de couper la branche sur laquelle tu est assis si tu l'installes sans le configurer selon tes propres besoins. Surtout, n'essaie pas de le faire réagir depuis ta machine cliente, car une fois qu'il a réagi, tu ne peux plus te re-connecter à ton serveur avec cette IP. En bref, et à ne pas taper aveuglément: sur le client, générer une paire de clés: login: toto toto$ ssh-keygen -t dsa [...] conserve tes clés d'année en année même si tu change de PC! envoyer la partie publique au serveur, dans le bon fichier: toto$ cat ~/.ssh/id_dsa.pub | ssh [email protected] "cat >> ~/.ssh/authorized_keys" #taper le mot de passe, ce sera la dernière fois test depuis le client: toto$ ssh [email protected] *toto$ #sans taper de mot de passe, tu dois être sur le serveur # si cela ne foncitonne pas, lis plus de doc, cela dépend de ta config # ssh et/ou des droits de lecture sur tes fichiers dans ~/.ssh # si cela marche, on continue: *toto$ sudo vi /etc/aliases # configure les aliases pour que les mails de root soient routés # vers ton login toto. si tu n'as pas de service de mail, oublie, mais # tu ne sera jamais mis au courant d'éventuelles attaques. *toto$ sudo apt-get install denyhosts # puis édite les options du fichier /etc/denyhosts.conf [...] *toto$ sudo /etc/init.d/denyhosts restart *toto$ sudo vi # et hop, au revoir les attaques. *toto$ logout Depuis que j'utilise denyhosts, sont bloquées environ 900 attaques uniques provenant de différentes IP par an, sois 3 attaques uniques par jour bloquées à jamais, et de manière automatique. Le principal problème de ce truc, c'est quand tes propres utilisateurs n'ont pas de clés ssh et se gourrent dans leur mot de passe: dans cas, il faut : 1. purger les backups de denyhosts dans /var/lib/denyhosts/ 2. retirer l'adresse IP du client dans /etc/hosts.deny 3. mailer le client pour lui dire que l'accès est rétabli. - ben Alain Vaugham a écrit : > Bonsoir la liste, > > J'ai installé une Ubuntu à 250 bornes de chez moi. > J'y accède par ssh pour administrer et vncviewer pour montrer comment ça > marche. > > J'ai trouvé ça dans le /var/log/auth.log : > > [couic] > Jan 13 09:12:27 mach12 sshd[5882]: pam_unix(sshd:auth): authentication > failure; logname= uid=0 euid=0 tty=ssh ruser= > rhost=server.treasureproductions.com > Jan 13 09:12:29 mach12 sshd[5882]: Failed password for invalid user ean from > 202.136.23.128 port 51946 ssh2 > Jan 13 09:12:39 mach12 sshd[5884]: Failed none for invalid user ean from > 202.136.23.128 port 52026 ssh2 > Jan 13 09:12:48 mach12 sshd[5886]: pam_unix(sshd:auth): authentication > failure; logname= uid=0 euid=0 tty=ssh ruser= > rhost=server.treasureproductions.com > Jan 13 09:12:50 mach12 sshd[5886]: Failed password for invalid user eara from > 202.136.23.128 port 52080 ssh2 > Jan 13 09:13:00 mach12 sshd[5888]: pam_unix(sshd:auth): authentication > failure; logname= uid=0 euid=0 tty=ssh ruser= > rhost=server.treasureproductions.com > Jan 13 09:13:02 mach12 sshd[5888]: Failed password for invalid user eara from > 202.136.23.128 port 32793 ssh2 > [couic] > > et à la même fréquence ça continue sur différents ports avec : > earl > earlene > early > ernest > easter > eavan > etc... > > > Qu'en pensez-vous? > > > > > ------------------------------------------------------------------------ > > _________________________________ > Linux mailing list > [email protected] > http://lists.parinux.org/mailman/listinfo/linux _________________________________ Linux mailing list [email protected] http://lists.parinux.org/mailman/listinfo/linux
