Re: Bloquer les tentatives connexion ssh
Merci a tous, Je vais commencer par tester le module recent de iptable que je ne connaissais pas mais que je vais rajouter dans mon noyau hardened pour voir si sa tourne bien. Et dans le cas contraire je metterais les autres. Pour ma part fail2ban était suffisant car elle etait la seule solution que je connaissais, j'espere avoir du temps pour explorer les autres solutions. 2008/10/2 Edi Stojicevic [EMAIL PROTECTED] * Johan Dindaine [EMAIL PROTECTED] [2008-10-01 13:54:20 +0100] wrote : [...] merci beaucoup steeve, Je cherchais fail2ban Tu peux regarder du côté de knockd aussi : http://debianworld.org/securite.knockd @+ -- . ''`. (\___/) E d i S T O J I C E V I C : :' : (='.'=) http://www.debianworld.org `. `~' ()_() GPG: 0x1237B032 `- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Bloquer les tentatives connexion ssh
Bonjour la liste, assez regulierement j'ai des tentatives de connexion par SSH venant ds mes logs du genre: Did not receive identification string from 210.102.192.90 ou encore Did not receive identification string from UNKNOWN. J'en ai tellement qu'a certain moment le flood ralenti ce serveur. Je me rappelle avoir deja vu sur la liste un programme permetant de banir une IP apres un certain nombres d'essaie mais je n'ai pu retrouver le nom. Pouvez vous me rappeler quel etait celui ci? Merci beaucoup ;)
Re: Bloquer les tentatives connexion ssh
Le 2008-10-01, à 13:45:50 +0100, Johan Dindaine ([EMAIL PROTECTED]) a écrit : Bonjour la liste, salut assez regulierement j'ai des tentatives de connexion par SSH venant ds mes logs du genre: Did not receive identification string from 210.102.192.90 ou encore Did not receive identification string from UNKNOWN. J'en ai tellement qu'a certain moment le flood ralenti ce serveur. Je me rappelle avoir deja vu sur la liste un programme permetant de banir une IP apres un certain nombres d'essaie mais je n'ai pu retrouver le nom. Pouvez vous me rappeler quel etait celui ci? fail2ban, sshblack Merci beaucoup ;) pas de quoi. Bonne fin de journée, Steve -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bloquer les tentatives connexion ssh
merci beaucoup steeve, Je cherchais fail2ban 2008/10/1 steve [EMAIL PROTECTED] Le 2008-10-01, à 13:45:50 +0100, Johan Dindaine ([EMAIL PROTECTED]) a écrit : Bonjour la liste, salut assez regulierement j'ai des tentatives de connexion par SSH venant ds mes logs du genre: Did not receive identification string from 210.102.192.90 ou encore Did not receive identification string from UNKNOWN. J'en ai tellement qu'a certain moment le flood ralenti ce serveur. Je me rappelle avoir deja vu sur la liste un programme permetant de banir une IP apres un certain nombres d'essaie mais je n'ai pu retrouver le nom. Pouvez vous me rappeler quel etait celui ci? fail2ban, sshblack Merci beaucoup ;) pas de quoi. Bonne fin de journée, Steve -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bloquer les tentatives connexion ssh
Pouvez vous me rappeler quel était celui ci? fail2ban, sshblack Pour info, il y a Snort aussi qui te permet de détecter d'autres tentatives d'intrusion (IDS). C'est beaucoup plus lourd a mettre en place et mal réglé ça peut prendre beaucoup de ressource mais c'est quand même très puissant. -- Breizh da viken : www.pointbzh.com
Re: Bloquer les tentatives connexion ssh
Le 2008-10-01, à 15:06:11 +0200, Kevin Hinault ([EMAIL PROTECTED]) a écrit : Pouvez vous me rappeler quel etait celui ci? fail2ban, sshblack Pour info, il y a Snort aussi qui te permet de detecter d'autres tentatives d'intrusion (IDS). C'est beaucoup plus lourd a mettre en place et mal regle c,a peut prendre beaucoup de ressource mais c'est quand meme tres puissant. Wai mais juste pour bloquer quelques tentatives ça paraît un poil lourd (c'est un euphémisme). Sinon, pour réduire le nombre de tentatives, on peut aussi faire écouter ssh sur un autre port que le 22. J'entends déjà des cris dans la salle quoi la sécurité par l'obscurité, c'est n'importe quoi. Mais ici il ne s'agit pas vraiment de sécurité mais juste de réduire les nuisances dues à ces essais sur un port classique. Mais fail2ban fait très bien son travail. Kenavo -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bloquer les tentatives connexion ssh
* Johan Dindaine [EMAIL PROTECTED] [2008-10-01 13:45:50 +0100] wrote : Bonjour la liste, Salut, assez regulierement j'ai des tentatives de connexion par SSH venant ds mes logs du genre: Did not receive identification string from 210.102.192.90 ou encore Did not receive identification string from UNKNOWN. J'en ai tellement qu'a certain moment le flood ralenti ce serveur. Je me rappelle avoir deja vu sur la liste un programme permetant de banir une IP apres un certain nombres d'essaie mais je n'ai pu retrouver le nom. Pouvez vous me rappeler quel etait celui ci? fail2ban ? Merci beaucoup ;) -- . ''`. (\___/) E d i S T O J I C E V I C : :' : (='.'=) http://www.debianworld.org `. `~' ()_() GPG: 0x1237B032 `- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bloquer les tentatives connexion ssh
Bonjour la liste, yop, Sans rien installer, tu pourrais déjà déjà passer ton ssh sur un autre port que 22. a+ f. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bloquer les tentatives connexion ssh
Johan Dindaine wrote: Bonjour la liste, assez regulierement j'ai des tentatives de connexion par SSH venant ds mes logs du genre: Did not receive identification string from 210.102.192.90 ou encore Did not receive identification string from UNKNOWN. J'en ai tellement qu'a certain moment le flood ralenti ce serveur. Je me rappelle avoir deja vu sur la liste un programme permetant de banir une IP apres un certain nombres d'essaie mais je n'ai pu retrouver le nom. Pouvez vous me rappeler quel etait celui ci? fail2ban, denyhosts, etc mais bon, c'est de l'artillerie lourde en quelque sorte. il faut être conscient que ça consiste à faire tourner un programme privélgié (il faut qu'il puisse reconfigurer le firewall) qui réagit à des expressions régulières. A un moment, il y avait une attaque contre fail2ban qui consistait à faire une tentative de l'utilisateur toto from 1.2.3.4 afin de causer des problèmes pour 1.2.3.4. ça a été corrigé depuis, mais le mal est fait (ça veut dire que le développeur n'avait pas prévu le coup, et que donc il est tout à fait raisonnable de penser qu'il n'y ait pas prévu d'autres coups). si tu te sens droit dans tes bottes, alors ignore les attaques en te disant c'est sécurisé ici, on s'en moque des tentatives. Après tout, il n'y a pas de raison de trembler toute sa vie durant. sinon, change de port. d'après mon experience, ça réduit le bruit à 0, ce qui est très agréable. ça ne veut pas dire qu'il faut compter dessus pour la sécurité. mais on a autre chose à faire que de s'occuper des script kiddies. et ça oblige l'attaquant à trouver le port, ce qui ne peut être fait de façon passive, et donc, il est possible de detecter qu'il y a une tentative, auquel cas on peut se mettre en mode faché. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bloquer les tentatives connexion ssh
Le Mer 1 octobre 2008 14:45, Johan Dindaine a écrit : J'en ai tellement qu'a certain moment le flood ralenti ce serveur. Je me rappelle avoir deja vu sur la liste un programme permetant de banir une IP apres un certain nombres d'essaie mais je n'ai pu retrouver le nom. Pouvez vous me rappeler quel etait celui ci? Je suis surpris que personne n'ai proposé une autre solution bien plus rapide et légère : le module recent de iptables qui va limiter la fréquence des tentatives. Tu peux lui dire par exemple : pas plus de trois tentatives en 60 secondes, sinon on bloque l'IP pendant 60 secondes et on note ca, mais pas plus de 10 fois par minutes C'est direct dans le noyau, sans rien de plus qu'une simple règle. Tu verra les alertes passer, mais beaucoup moins souvent, elles ne chargeront pas tes logs et les trames TCP seront éliminées au plus bas niveau (donc moins de charge). iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -m limit --limit 10/m -j LOG iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP # Accepter les connexions SSH iptables -A INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT Fanfan -- http://www.cerbelle.net - http://www.afdm-idf.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bloquer les tentatives connexion ssh
Le Wed, 1 Oct 2008 15:21:17 +0200 steve [EMAIL PROTECTED] a écrit: Mais ici il ne s'agit pas vraiment de sécurité mais juste de réduire les nuisances dues à ces essais sur un port classique. Mais fail2ban fait très bien son travail. À une remarque près, j'utilise ipt_recent et un script faisant à peu près la même chose mais je fais face à des tentatives venant de 2000 machines différentes coordonnées entre elles: .. Failed keyboard-interactive/pam for invalid user tmp from 200.127.112.176 port 45431 ssh2 Failed keyboard-interactive/pam for invalid user tmp from 217.98.80.5 port 48372 ssh2 Failed keyboard-interactive/pam for invalid user tmp from 196.211.228.226 port 42894 ssh2 Failed keyboard-interactive/pam for invalid user tmp from 62.38.242.231 port 62736 ssh2 Failed keyboard-interactive/pam for invalid user tmp from 98.162.246.23 port 39423 ssh2 Failed keyboard-interactive/pam for invalid user tmp from 218.201.201.6 port 45558 ssh2 Failed keyboard-interactive/pam for invalid user tmp from 83.103.70.170 port 14321 ssh2 Failed keyboard-interactive/pam for invalid user tmp from 82.107.18.143 port 49964 ssh2 Failed keyboard-interactive/pam for invalid user temp from 165.228.206.192 port 46860 ssh2 Failed keyboard-interactive/pam for invalid user temp from 201.147.111.94 port 60470 ssh2 Failed keyboard-interactive/pam for invalid user temp from 203.80.236.60 port 50267 ssh2 Failed keyboard-interactive/pam for invalid user temp from 80.118.132.88 port 2028 ssh2 Failed keyboard-interactive/pam for invalid user temp from 89.216.242.73 port 20141 ssh2 Failed keyboard-interactive/pam for invalid user temporary from 194.228.118.57 port 10382 ssh2 Failed keyboard-interactive/pam for invalid user temporary from 92.236.53.54 port 62598 ssh2 Failed keyboard-interactive/pam for invalid user temporary from 60.49.250.58 port 1171 ssh2 Failed keyboard-interactive/pam for invalid user temporary from 121.139.193.67 port 1697 ssh2 Failed keyboard-interactive/pam for invalid user temporary from 216.197.204.76 port 38963 ssh2 Failed keyboard-interactive/pam for invalid user christelle from 70.154.244.35 port 22916 ssh2 Failed keyboard-interactive/pam for invalid user christelle from 81.137.224.38 port 11630 ssh2 Failed keyboard-interactive/pam for invalid user christelle from 217.98.80.5 port 32738 ssh2 Failed keyboard-interactive/pam for invalid user christelle from 217.126.90.161 port 52937 ssh2 Failed keyboard-interactive/pam for invalid user christelle from 200.170.141.134 port 52109 ssh2 Failed keyboard-interactive/pam for invalid user christelle from 213.41.149.160 port 34584 ssh2 Failed keyboard-interactive/pam for invalid user christelle from 92.104.254.121 port 52387 ssh2 Failed keyboard-interactive/pam for invalid user christiane from 190.8.149.130 port 43134 ssh2 Failed keyboard-interactive/pam for invalid user christiane from 201.230.98.131 port 18328 ssh2 Failed keyboard-interactive/pam for invalid user christiane from 212.147.16.232 port 53706 ssh2 Failed keyboard-interactive/pam for invalid user christiane from 213.98.2.49 port 56032 ssh2 Failed keyboard-interactive/pam for invalid user christiane from 196.211.228.226 port 52944 ssh2 Failed keyboard-interactive/pam for invalid user christiane from 200.183.40.66 port 52170 ssh2 Failed keyboard-interactive/pam for invalid user christine from 83.12.137.44 port 42141 ssh2 Failed keyboard-interactive/pam for invalid user christine from 201.155.69.6 port 3497 ssh2 Failed keyboard-interactive/pam for invalid user christine from 145.253.179.228 port 60859 ssh2 ... je ne sais pas comment contourner ça mis à part l'écoute sur un autre port... François Boisson -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bloquer les tentatives connexion ssh
Salut, François Boisson wrote: Le Wed, 1 Oct 2008 15:21:17 +0200 steve [EMAIL PROTECTED] a écrit: Mais ici il ne s'agit pas vraiment de sécurité mais juste de réduire les nuisances dues à ces essais sur un port classique. Mais fail2ban fait très bien son travail. À une remarque près, j'utilise ipt_recent et un script faisant à peu près la même chose mais je fais face à des tentatives venant de 2000 machines différentes coordonnées entre elles: [...] je ne sais pas comment contourner ça mis à part l'écoute sur un autre port... Utilises fwknop. C'est en anglais: http://www.cipherdyne.org/fwknop/ Pour faire simple: En considérant que ton firewall bloque le port 22, le démon fwknop est à l'écoute pour des demandes d'accès au serveur SSH. Un client est disponible pour permettre l'envoie de paquets cryptés vers le serveur. Une fois que le client est identifé il te donne accès à ton serveur SSH (nouvelles connexions) pendant un timeout, avant de le verrouiller à nouveau. On peut l'appliquer pour tous ports et même l'appliquer pour du forward de connexion, gérer les blacklists, exécuter des commandes à distance... Si cela te tente je te fournirais un lien pour une installation facile et rapide. -- Franck Joncourt http://debian.org - http://smhteam.info/wiki/ Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE signature.asc Description: OpenPGP digital signature
Re: Bloquer les tentatives connexion ssh
Bonsoir, François Cerbelle wrote: Le Mer 1 octobre 2008 14:45, Johan Dindaine a écrit : J'en ai tellement qu'a certain moment le flood ralenti ce serveur. Je me rappelle avoir deja vu sur la liste un programme permetant de banir une IP apres un certain nombres d'essaie mais je n'ai pu retrouver le nom. Pouvez vous me rappeler quel etait celui ci? Je suis surpris que personne n'ai proposé une autre solution bien plus rapide et légère : le module recent de iptables qui va limiter la fréquence des tentatives. Tu peux lui dire par exemple : pas plus de trois tentatives en 60 secondes, sinon on bloque l'IP pendant 60 secondes et on note ca, mais pas plus de 10 fois par minutes C'est direct dans le noyau, sans rien de plus qu'une simple règle. Tu verra les alertes passer, mais beaucoup moins souvent, elles ne chargeront pas tes logs et les trames TCP seront éliminées au plus bas niveau (donc moins de charge). iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -m limit --limit 10/m -j LOG iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP # Accepter les connexions SSH iptables -A INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT Je viens de m'amuser à ressortir un petit script: # ./my_script.sh mercredi 1 octobre 2008, 20:10:28 (UTC+0200) diamond.example.com [192.168.0.1] 22 (ssh) open diamond.example.com [192.168.0.1] 22 (ssh) : Connection timed out diamond.example.com [192.168.0.1] 22 (ssh) : Connection timed out diamond.example.com [192.168.0.1] 22 (ssh) : Connection timed out diamond.example.com [192.168.0.1] 22 (ssh) : Connection timed out sent 0, rcvd 0 mercredi 1 octobre 2008, 20:10:32 (UTC+0200) ... diamond.example.com [192.168.0.1] 22 (ssh) open sent 0, rcvd 0 mercredi 1 octobre 2008, 20:10:32 (UTC+0200) Cela devrait rappeler quelque chose à François Boisson :p! C'est simplement pour mettre en évidence que le module recent gère une table pour lister les connexions mais que l'on peut atteindre ces limites très vite. Autrement, en effet c'est une solution simple et qui dépanne bien. -- Franck Joncourt http://debian.org - http://smhteam.info/wiki/ Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE signature.asc Description: OpenPGP digital signature
Re: Bloquer les tentatives connexion ssh
mouss wrote: Johan Dindaine wrote: Bonjour la liste, Bonsoir, [...] fail2ban, denyhosts, etc mais bon, c'est de l'artillerie lourde en quelque sorte. il faut être conscient que ça consiste à faire tourner un programme privélgié (il faut qu'il puisse reconfigurer le firewall) qui réagit à des expressions régulières. Je ne pense vraiment pas que l'on puisse considérer fail2ban, denyhost comme de l'artillerie lourde. Pour moi, ce serait plutôt quelque chose comme le triplet psad, fwsnort et fwknop sur une machine qui commence à vraiment devenir amusant. [...] si tu te sens droit dans tes bottes, alors ignore les attaques en te disant c'est sécurisé ici, on s'en moque des tentatives. Après tout, il n'y a pas de raison de trembler toute sa vie durant. Les ignorer entièrement n'apporte rien à personne, il peut-être intéressant de les prendre en compte et de les reporter à un niveau supérieur: http://www.dshield.org/indexd.html -- Franck Joncourt http://debian.org - http://smhteam.info/wiki/ Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE signature.asc Description: OpenPGP digital signature
Re: Bloquer les tentatives connexion ssh
* Johan Dindaine [EMAIL PROTECTED] [2008-10-01 13:54:20 +0100] wrote : [...] merci beaucoup steeve, Je cherchais fail2ban Tu peux regarder du côté de knockd aussi : http://debianworld.org/securite.knockd @+ -- . ''`. (\___/) E d i S T O J I C E V I C : :' : (='.'=) http://www.debianworld.org `. `~' ()_() GPG: 0x1237B032 `- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]