Re: Pare-feu : ouverture de ports à reception d'un mail
Patrice OLIVER wrote: Bonjour, Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise a été attaqué 302 fois cette nuit ... ce que je fais: - j'active deux ports dans sshd_config. 22 et un autre - le port 22 est uniquement accessible de certaines IP (firewall) - l'autre port est accessible d'ailleurs Même si un scan peut detecter le second port, ça élimine déjà les robots qui vont directement sur le port 22. Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de messagerie reçoit un mail. Avez-vous déjà mis cela en oeuvre ? pourquoi par mail? un mail peut mettre du temps à arriver. http sur un port prédéfini est déjà mieux. mais comme cela a déjà été dit, regarde du coté des "frappeurs de porte"... -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Pare-feu : ouverture de ports à reception d'un mail
salut, Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de messagerie reçoit un mail. Avez-vous déjà mis cela en oeuvre ? oui. Pour ma part, c'est du portknoking maison: phase 1: [EMAIL PROTECTED]:~$ echo | mail -s "ouvrir ssh" [EMAIL PROTECTED] phase2: sur le serveur de mail, j'intercepte tout ce qui est envoyé au destinataire robot et je lui applique le script suivant: # on stocke le mail qui nous arrive par le stdin dans un fichier temporaire mail=`mktemp -t robot.XX` cat > $mail from=`grep "^From: " $mail |sed "s/^From: //g"` sujet=`grep "^Subject: " $mail |sed "s/^Subject: //g"` logfile=/var/log/robot.log logprefix="`date +'%b %d %T'` `hostname` $from" if [ -n "`grep '^Subject: ouvrir ssh' $mail`" -o "$extension" = "openssh" ]; then echo "$logprefix ouvre le ssh" >> $logfile echo "sshd: ALL" >> /etc/hosts.allow elif [ -n "`grep '^Subject: fermer ssh' $mail`" -o "$extension" = "closessh" ]; then echo "$logprefix `id` ferme le ssh" >> $logfile temp=`mktemp -t robot-sed.XX` sed "s/sshd: ALL//g" /etc/hosts.allow > $temp && cat $temp > /etc/hosts.allow && rm $temp fi En gros, quand je reçois "ouvrir ssh", je met sshd:ALL dans /etc/hosts.allow Et quand je reçois "fermer ssh", je vire sshd:ALL de /etc/hosts.allow phase3: [EMAIL PROTECTED]:~$ ssh -p 2201 [EMAIL PROTECTED] Et voilà, si ça peut aider. C'est ce que j'utilise depuis 6 ans. Merci. de rien ;) f. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Pare-feu : ouverture de ports à reception d'un mail
Bonsoir, Toutes mes excuses à Edi qui a reçu le mail en privé :-( Dans le filon portknocking, il existe une solution hyper-light: netfilter. Je l'utilise avec bonheur sur ma machine: http://www.jbfavre.org/publications/portknocking Bonne soirée, JB Edi Stojicevic a écrit : > * Jeremy Garrouste <[EMAIL PROTECTED]> [2008-07-09 09:26:09 +0200] wrote : > >> On Wed, Jul 9, 2008 at 9:15 AM, Patrice OLIVER <[EMAIL PROTECTED]> wrote: >> >>> Bonjour, >>> >>> Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les >>> attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise >>> a été attaqué 302 fois cette nuit ... >>> Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de >>> messagerie reçoit un mail. >>> Avez-vous déjà mis cela en oeuvre ? >>> >>> Merci. >>> >>> <[EMAIL PROTECTED]> >> >> Bonjour, >> >> Ce que tu cherches a faire s'appelle du "portknoking". >> http://www.giac.org/certified_professionals/practicals/gsec/4122.php >> >> A bientot > > Il existe le package knockd qui est relativement simple a mettre en > place et qui permet apes une sequence donnee de connexions sur > differents ports d'ouvrir le port ssh pour X minutes. > > @+ > -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Pare-feu : ouverture de ports à reception d'un mail
Patrice OLIVER wrote: Je ne penses pas que cela empêchera les attaques / scans de ports. En configurant une authentification "uniquement par clé" ça reste relativement efficasse, pas de clé privée présentée=connection refusée -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Pare-feu : ouverture de ports à reception d'un mail
Je ne penses pas que cela empêchera les attaques / scans de ports. Le 9 juillet 2008 11:54, Thibaut LE LEVIER <[EMAIL PROTECTED]> a écrit : > Patrice OLIVER wrote: >> >> Bonjour, >> >> Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les >> attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise >> a été attaqué 302 fois cette nuit ... >> Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de >> messagerie reçoit un mail. >> Avez-vous déjà mis cela en oeuvre ? >> >> Merci. >> > > Pourquoi ne pas mettre en place un couple de clé SSH? > -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Pare-feu : ouverture de ports à reception d'un mail
Patrice OLIVER wrote: Bonjour, Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise a été attaqué 302 fois cette nuit ... Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de messagerie reçoit un mail. Avez-vous déjà mis cela en oeuvre ? Merci. Pourquoi ne pas mettre en place un couple de clé SSH? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Pare-feu : ouverture de ports à reception d'un mail
Ok Nicolas, marci. Le 9 juillet 2008 10:39, Nicolas KOWALSKI <[EMAIL PROTECTED]> a écrit : > On Wed, Jul 09, 2008 at 10:30:58AM +0200, Patrice OLIVER wrote: >> Je n'utilise pas fail2ban car j'utilise SSH avec 2 sociétés pour ma >> maintenance. >> Si SSH est fermé, ils ne peuvent pas intervenir ... > > fail2ban interdit les connexions provenant d'une machine distante > uniquement si cette dernière fait plusieurs tentatives de connexion > *infructueuses* en un certain laps de temps. Au bout de quelques minutes > (10 par défaut je crois), les connexions provenant de cette > machine seront de nouveau autorisées. > > En d'autres termes, si les deux sociétés de maintenance ne font pas > bêtises à la connexion (login/pass corrects), elles ne seront jamais > bloquées, y compris si au même moment il y a une attaque provenant de > quelqu'un d'autre. > > -- > Nicolas > > -- > Lisez la FAQ de la liste avant de poser une question : > http://wiki.debian.org/DebFrFrenchLists > Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et > "Reply-To:" > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > > -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Pare-feu : ouverture de ports à reception d'un mail
Le 2008-07-09, à 10:30:58 +0200, Patrice OLIVER ([EMAIL PROTECTED]) a écrit : > Lignes : 42 > > Merci à tous pour vos réponses. > Je n'utilise pas fail2ban car j'utilise SSH avec 2 sociétés pour ma > maintenance. > Si SSH est fermé, ils ne peuvent pas intervenir ... Le port SSH n'est pas fermé par fail2ban, il l'est seulement après plusieurs tentatives sur ce port (et rouvert quelques minutes plus tard). Tout cela est bien sûr configurable à souhait. > Je vais regarder du côté du portknoking. Moi auss, par curiosité. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Pare-feu : ouverture de ports à reception d'un mail
Merci à tous pour vos réponses. Je n'utilise pas fail2ban car j'utilise SSH avec 2 sociétés pour ma maintenance. Si SSH est fermé, ils ne peuvent pas intervenir ... Je vais regarder du côté du portknoking. 2008/7/9 Jeremy Garrouste <[EMAIL PROTECTED]>: > On Wed, Jul 9, 2008 at 9:15 AM, Patrice OLIVER <[EMAIL PROTECTED]> wrote: >> >> Bonjour, >> >> Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les >> attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise >> a été attaqué 302 fois cette nuit ... >> Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de >> messagerie reçoit un mail. >> Avez-vous déjà mis cela en oeuvre ? >> >> Merci. >> > > Bonjour, > > Ce que tu cherches a faire s'appelle du "portknoking". > http://www.giac.org/certified_professionals/practicals/gsec/4122.php > > A bientot > > -- > Jeremy GARROUSTE -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Pare-feu : ouverture de ports à reception d'un mail
* Jeremy Garrouste <[EMAIL PROTECTED]> [2008-07-09 09:26:09 +0200] wrote : > On Wed, Jul 9, 2008 at 9:15 AM, Patrice OLIVER <[EMAIL PROTECTED]> wrote: > > > Bonjour, > > > > Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les > > attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise > > a été attaqué 302 fois cette nuit ... > > Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de > > messagerie reçoit un mail. > > Avez-vous déjà mis cela en oeuvre ? > > > > Merci. > > > > <[EMAIL PROTECTED]> > > > Bonjour, > > Ce que tu cherches a faire s'appelle du "portknoking". > http://www.giac.org/certified_professionals/practicals/gsec/4122.php > > A bientot Il existe le package knockd qui est relativement simple a mettre en place et qui permet apes une sequence donnee de connexions sur differents ports d'ouvrir le port ssh pour X minutes. @+ -- . ''`. (\___/) E d i S T O J I C E V I C : :' : (='.'=) http://www.debianworld.org `. `~' (")_(") GPG: 0x1237B032 `- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Pare-feu : ouverture de ports à reception d'un mail
Bonjour, Je ne réponds pas directement à ta question, mais il existe des outils pour contrer le brute-force (Si c'est bien d'attaques de brute-force dont tu parles). Perso, j'utilise fail2ban, ce qui permet de bloquer les attaques de brute-force sur pas mal de services (SSH, SMTP, IMAP, POP, ...) Romaric Patrice OLIVER a écrit : Bonjour, Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise a été attaqué 302 fois cette nuit ... Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de messagerie reçoit un mail. Avez-vous déjà mis cela en oeuvre ? Merci. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Pare-feu : ouverture de ports à reception d'un mail
On Wed, Jul 9, 2008 at 9:15 AM, Patrice OLIVER <[EMAIL PROTECTED]> wrote: > Bonjour, > > Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les > attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise > a été attaqué 302 fois cette nuit ... > Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de > messagerie reçoit un mail. > Avez-vous déjà mis cela en oeuvre ? > > Merci. > > <[EMAIL PROTECTED]> Bonjour, Ce que tu cherches a faire s'appelle du "portknoking". http://www.giac.org/certified_professionals/practicals/gsec/4122.php A bientot -- Jeremy GARROUSTE
Re: Pare-feu : ouverture de ports à reception d'un mail
Le 2008-07-09, à 09:15:20 +0200, Patrice OLIVER ([EMAIL PROTECTED]) a écrit : > Lignes : 20 > > Bonjour, Salut Patrice, > Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les > attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise > a été attaqué 302 fois cette nuit ... > Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de > messagerie reçoit un mail. > Avez-vous déjà mis cela en oeuvre ? Non mais as-tu essayé fail2ban ? Il ferme les ports attaqués pendant un certain temps, ça calme les robots en général. Les attaques ssh ont drastiquement diminué depuis que je l'utilise. > Merci. Bonne journée -- Steve -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Pare-feu : ouverture de ports à reception d'un mail
Bonjour, Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise a été attaqué 302 fois cette nuit ... Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de messagerie reçoit un mail. Avez-vous déjà mis cela en oeuvre ? Merci. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]