Re: interdire accès SSH
On 2012-05-11 17:15:44 +0200, Sébastien NOBILI wrote: Le vendredi 11 mai 2012 à 16:26, Vincent Lefevre a écrit : Mais il y a des endroits où les ports non standard sont filtrés. J'avais dû ainsi utiliser le port 443 (habituellement https), libre sur ma machine. Maintenant, les derniers problèmes que j'avais remarqués, ça devait être en 2004. La politique des sites a peut-être évolué... Pas sûr que les gens qui ont un jour bloqué le trafic vers un port 22 l'aient débloqué depuis… Ça peut être une règle sur une machine ou routeur. Le matériel a probablement changé en 8 ans, et les règles ont aussi peut-être changé par la même occasion. -- Vincent Lefèvre vinc...@vinc17.net - Web: http://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: http://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20120513013020.ga28...@xvii.vinc17.org
Re: interdire accès SSH
On 2012-05-11 18:05:06 +0200, andre_deb...@numericable.fr wrote: On Friday 11 May 2012 17:25:06 Samy Mezani wrote: le 11/05/2012 17:10, andre_deb...@numericable.fr a écrit: Mais du coup je n'arrive plus à me connecter avec Konqueror en mode SFTP : sftp://mon_serveur Comment lui dire d'aller lire un autre port que le 22 ? Bonjour, Et avec sftp://user@serveur:port/chemin/dossier, ça marche ? Samy --- Merci pour vos bonnes réponses et tuyaux, ça marche très bien + sftp. L'autre solution est de passer via un .ssh/config, comme je l'ai indiqué. Évidemment, c'est à faire sur tous les clients. -- Vincent Lefèvre vinc...@vinc17.net - Web: http://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: http://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20120513013208.gd27...@xvii.vinc17.org
Re: interdire accès SSH
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Le 11/05/2012 00:53, xavier.limo...@xavier-office.net a écrit : Le Friday 11 May 2012 à 00:03:03 (+0200), andre_deb...@numericable.fr a écrit : Bonsoir, Je désire interdire l'accès distant SSH à certains IP. J'ai utilisé : hosts.allow : sshd: ALL hosts.deny : sshd: IP sshd_config : AllowUsers * DenyUsers IP Mais rien n'y fait, soit aucun accès à tout le monde ou accès à tout le monde. Merci d'une aide. andré Bonsoir, essaye avec /etc/hosts.allow contenant: sshd: IP /etc/hosts.deny contenant: sshd: ALL /etc/hosts.allow est parcouru en premier, de la première a la dernière règle.Si l'ip matche une règle, ça passe sinon la dernière règle dans hosts.deny est appliquée -- All mail clients suck. This one just sucks less. Sinon, tu peux utiliser mysecureshell qui permet de définir assez finement les utilisations de ssh. Benoit -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iQEcBAEBAgAGBQJPrKrxAAoJEDd5vycqAnvD+pgH+wfYE5S51dKTBBLL3KebJfvE xM0L6UXNR93tQNXSbQFph4MglDoQrgPOmWzk/SbNb5A2yqLI1a2VeBqXxOo69AbD ASEiDhm1fDZGyjWhxFFZk5TyC77lPQZr2mDu1Q/r+ovS+QG4wFrI4O2FJ/jb8gM6 QJbR1zAK/cbMIgJ6yblQAY6CPvue5ygIF8bMF4B8bheFShsVWf6Ck251B6XUfor4 aVeg0HsiISSPOoOPYCzUDpH9X2S8iV8V6gj4GWXp8V6osfVwMjA7z3UAj5RnMkYQ 3j4+hEHbmmHHJxp/UpUAShdBkwjwZHsub0pImbjQDHfxLNvKqKxcFt5S7xuKAmk= =FLFQ -END PGP SIGNATURE- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4facaaf2.6090...@z-elec.com
Re: interdire accès SSH
On Friday 11 May 2012 00:53:59 xavier.limo...@xavier-office.net wrote: Le Friday 11 May 2012 à 00:03:03 (+0200), andre_deb...@numericable.fr Je désire interdire l'accès distant SSH à certains IP. essaye avec /etc/hosts.allow contenant: sshd: IP /etc/hosts.deny contenant: sshd: ALL /etc/hosts.allow est parcouru en premier, de la première a la dernière règle.Si l'ip matche une règle, ça passe sinon la dernière règle dans hosts.deny est appliquée Sinon, tu peux utiliser mysecureshell qui permet de définir assez finement les utilisations de ssh. Benoit Merci pour ces tuyaux. (mysecureshell, c'est plus pour le sftp ...) auth.log : Je reçois ce type de connexion toutes les minutes depuis plusieurs jours : sshd[15674]: Failed password for invalid user paige from 211.20.112.146 port 42897 ssh2 avec à chaque fois un user différent paige , victoria ... et un port différent 42897 , 44219 ... L'IP (toujours le même) 211.20.112.146 ne semble pas répertorié : TWNIC (taïwan). Le but est d'empêcher ces connexions intempestives à la racine, par ce numéro IP. Merci d'un conseil ... Bonne journée. andré -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20120518.38087.andre_deb...@numericable.fr
Re: interdire accès SSH
salut apt-get install fail2ban On Fri, 11 May 2012 11:18:38 +0200, andre_deb...@numericable.fr wrote: On Friday 11 May 2012 00:53:59 xavier.limo...@xavier-office.net wrote: Le Friday 11 May 2012 à 00:03:03 (+0200), andre_deb...@numericable.fr Je désire interdire l'accès distant SSH à certains IP. essaye avec /etc/hosts.allow contenant: sshd: IP /etc/hosts.deny contenant: sshd: ALL /etc/hosts.allow est parcouru en premier, de la première a la dernière règle.Si l'ip matche une règle, ça passe sinon la dernière règle dans hosts.deny est appliquée Sinon, tu peux utiliser mysecureshell qui permet de définir assez finement les utilisations de ssh. Benoit Merci pour ces tuyaux. (mysecureshell, c'est plus pour le sftp ...) auth.log : Je reçois ce type de connexion toutes les minutes depuis plusieurs jours : sshd[15674]: Failed password for invalid user paige from 211.20.112.146 port 42897 ssh2 avec à chaque fois un user différent paige , victoria ... et un port différent 42897 , 44219 ... L'IP (toujours le même) 211.20.112.146 ne semble pas répertorié : TWNIC (taïwan). Le but est d'empêcher ces connexions intempestives à la racine, par ce numéro IP. Merci d'un conseil ... Bonne journée. andré -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/069384f679ed04041659565fe3d20326@localhost
Re: interdire accès SSH
Le 11/05/2012 11:18, andre_deb...@numericable.fr a écrit : On Friday 11 May 2012 00:53:59 xavier.limo...@xavier-office.net wrote: Le Friday 11 May 2012 à 00:03:03 (+0200), andre_deb...@numericable.fr Je désire interdire l'accès distant SSH à certains IP. essaye avec /etc/hosts.allow contenant: sshd: IP /etc/hosts.deny contenant: sshd: ALL /etc/hosts.allow est parcouru en premier, de la première a la dernière règle.Si l'ip matche une règle, ça passe sinon la dernière règle dans hosts.deny est appliquée Sinon, tu peux utiliser mysecureshell qui permet de définir assez finement les utilisations de ssh. Benoit Merci pour ces tuyaux. (mysecureshell, c'est plus pour le sftp ...) auth.log : Je reçois ce type de connexion toutes les minutes depuis plusieurs jours : sshd[15674]: Failed password for invalid user paige from 211.20.112.146 port 42897 ssh2 avec à chaque fois un user différent paige , victoria ... et un port différent 42897 , 44219 ... L'IP (toujours le même) 211.20.112.146 ne semble pas répertorié : TWNIC (taïwan). Le but est d'empêcher ces connexions intempestives à la racine, par ce numéro IP. Merci d'un conseil ... Bonne journée. andré Bonjour, s'il s'agit uniquement de bannir des IP de machines tentant de se connecter à SSH en toute illégalité, le programme denyhosts pourrait faire l'affaire, il alimentera automatiquement /etc/hosts. -- Bonne journée -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/1a2ea1601709e425e7493404aaf0b...@mirtouf.net
Re: interdire accès SSH
On Fri, 11 May 2012 11:28:34 +0200, Cyril M. mirt...@mirtouf.net wrote: Le 11/05/2012 11:18, andre_deb...@numericable.fr a écrit : On Friday 11 May 2012 00:53:59 xavier.limo...@xavier-office.net wrote: Le Friday 11 May 2012 à 00:03:03 (+0200), andre_deb...@numericable.fr Je désire interdire l'accès distant SSH à certains IP. essaye avec /etc/hosts.allow contenant: sshd: IP /etc/hosts.deny contenant: sshd: ALL /etc/hosts.allow est parcouru en premier, de la première a la dernière règle.Si l'ip matche une règle, ça passe sinon la dernière règle dans hosts.deny est appliquée Sinon, tu peux utiliser mysecureshell qui permet de définir assez finement les utilisations de ssh. Benoit Merci pour ces tuyaux. (mysecureshell, c'est plus pour le sftp ...) auth.log : Je reçois ce type de connexion toutes les minutes depuis plusieurs jours : sshd[15674]: Failed password for invalid user paige from 211.20.112.146 port 42897 ssh2 avec à chaque fois un user différent paige , victoria ... et un port différent 42897 , 44219 ... L'IP (toujours le même) 211.20.112.146 ne semble pas répertorié : TWNIC (taïwan). Le but est d'empêcher ces connexions intempestives à la racine, par ce numéro IP. Merci d'un conseil ... Bonne journée. andré Bonjour, s'il s'agit uniquement de bannir des IP de machines tentant de se connecter à SSH en toute illégalité, le programme denyhosts pourrait faire l'affaire, il alimentera automatiquement /etc/hosts. mais, l'avantage de fai2ban, c'est qu'il ne touche pas à un fichier plat, mais aux règles de fw. disons que, c'est plus propre. dans ce genre de cas, tu peux/dois, écrire au contact administratif qui gère le pool IP, et l'avertir du problème avec les logs. dans 90% des cas, cela n'aura aucun effet, car l'admin a d'autres chat à fouter. pour info, il s'agit d'un host linux 2.6.x, avec un serveur ssh sur 22 aussi. c'est probablement un serveur hosted. -- Bonne journée -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/2db1120e9f02454f763c11c77f066d82@localhost
Re: interdire accès SSH
Bonjour, Le vendredi 11 mai 2012 à 11:18, andre_deb...@numericable.fr a écrit : Je reçois ce type de connexion toutes les minutes depuis plusieurs jours : sshd[15674]: Failed password for invalid user paige from 211.20.112.146 port 42897 ssh2 avec à chaque fois un user différent paige , victoria ... et un port différent 42897 , 44219 ... L'IP (toujours le même) 211.20.112.146 ne semble pas répertorié : TWNIC (taïwan). Le but est d'empêcher ces connexions intempestives à la racine, par ce numéro IP. Merci d'un conseil ... Le simple fait de changer le port d'écoute du serveur SSH (directive « Port » dans /etc/ssh/sshd_config) te protégera de ce genre d'attaque. Ça n'empêchera pas en théorie ce genre de tentatives d'intrusions, mais dans la pratique si. L'inconvénient c'est que les commandes SSH de connexion au serveur sont plus compliquées (il faut lui indiquer le numéro de port). Personnellement ça fait pas loin de dix ans que je fonctionne comme ça et je suis passé d'une centaine de tentatives toutes les vingt minutes à … 0 ! Seb -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/2012054553.gb8...@sebian.nob900.homeip.net
Re: interdire accès SSH
On 11/05/2012 11:22, admini wrote: salut apt-get install fail2ban et utiliser un autre port que le port 22 -- F.Mescam -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/joj1mm$ctp$1...@dough.gmane.org
Re: interdire accès SSH
On 2012-05-11 13:45:53 +0200, Sébastien NOBILI wrote: Le simple fait de changer le port d'écoute du serveur SSH (directive « Port » dans /etc/ssh/sshd_config) te protégera de ce genre d'attaque. Ça n'empêchera pas en théorie ce genre de tentatives d'intrusions, mais dans la pratique si. Mais il y a des endroits où les ports non standard sont filtrés. J'avais dû ainsi utiliser le port 443 (habituellement https), libre sur ma machine. Maintenant, les derniers problèmes que j'avais remarqués, ça devait être en 2004. La politique des sites a peut-être évolué... L'inconvénient c'est que les commandes SSH de connexion au serveur sont plus compliquées (il faut lui indiquer le numéro de port). Pas vraiment: il suffit de se créer une config .ssh/config. D'ailleurs, c'est intéressant de le faire même si on ne change pas de port. Par exemple: Host home HostKeyAlias le_fqdn Hostname le_fqdn Port le_port User l_utilisateur avec éventuellement d'autres options (StrictHostKeyChecking yes, ForwardX11 no, etc.). Il suffit alors d'un ssh home, scp home:..., etc. Personnellement ça fait pas loin de dix ans que je fonctionne comme ça et je suis passé d'une centaine de tentatives toutes les vingt minutes à … 0 ! Idem. J'ai aussi fail2ban sur mes machines. -- Vincent Lefèvre vinc...@vinc17.net - Web: http://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: http://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20120511142634.gc27...@xvii.vinc17.org
Re: interdire accès SSH
On Friday 11 May 2012 16:26:34 Vincent Lefevre wrote: On 2012-05-11 13:45:53 +0200, Sébastien NOBILI wrote: Le simple fait de changer le port d'écoute du serveur SSH (directive « Port » dans /etc/ssh/sshd_config) te protégera de ce genre d'attaque. Ça n'empêchera pas en théorie ce genre de tentatives d'intrusions, mais dans la pratique si. J'ai changé de numéro de port, qui a stoppé les tentatives d'intrusion. Mais du coup je n'arrive plus à me connecter avec Konqueror en mode SFTP : sftp://mon_serveur Comment lui dire d'aller lire un autre port que le 22 ? Merci. andré -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201205111710.26108.andre_deb...@numericable.fr
Re: interdire accès SSH
Le vendredi 11 mai 2012 à 16:26, Vincent Lefevre a écrit : Mais il y a des endroits où les ports non standard sont filtrés. J'avais dû ainsi utiliser le port 443 (habituellement https), libre sur ma machine. Maintenant, les derniers problèmes que j'avais remarqués, ça devait être en 2004. La politique des sites a peut-être évolué... Pas sûr que les gens qui ont un jour bloqué le trafic vers un port 22 l'aient débloqué depuis… L'inconvénient c'est que les commandes SSH de connexion au serveur sont plus compliquées (il faut lui indiquer le numéro de port). Pas vraiment: il suffit de se créer une config .ssh/config. D'ailleurs, c'est intéressant de le faire même si on ne change pas de port. Par exemple: Host home HostKeyAlias le_fqdn Hostname le_fqdn Port le_port User l_utilisateur avec éventuellement d'autres options (StrictHostKeyChecking yes, ForwardX11 no, etc.). Il suffit alors d'un ssh home, scp home:..., etc. Oui, mais en général, on en vient à ce point quand on en a marre de taper des commandes SSH à rallonge, du moins ça a été mon cas ! Personnellement ça fait pas loin de dix ans que je fonctionne comme ça et je suis passé d'une centaine de tentatives toutes les vingt minutes à … 0 ! Idem. J'ai aussi fail2ban sur mes machines. C'est vrai, ceinture bretelles, toussa :-) Seb -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20120511151544.gc8...@sebian.nob900.homeip.net
Re: interdire accès SSH
le 11/05/2012 17:10, andre_deb...@numericable.fr a écrit: Mais du coup je n'arrive plus à me connecter avec Konqueror en mode SFTP : sftp://mon_serveur Comment lui dire d'aller lire un autre port que le 22 ? Bonjour, Et avec sftp://user@serveur:port/chemin/dossier, ça marche ? Samy -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4fad2f52.5050...@wanadoo.fr
Re: interdire accès SSH
On Friday 11 May 2012 17:25:06 Samy Mezani wrote: le 11/05/2012 17:10, andre_deb...@numericable.fr a écrit: Mais du coup je n'arrive plus à me connecter avec Konqueror en mode SFTP : sftp://mon_serveur Comment lui dire d'aller lire un autre port que le 22 ? Bonjour, Et avec sftp://user@serveur:port/chemin/dossier, ça marche ? Samy --- Merci pour vos bonnes réponses et tuyaux, ça marche très bien + sftp. J'ai installé fail2ban , denyhosts. auth.log : je ne vois plus de tentatives d'intrusion ... andré -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201205111805.06938.andre_deb...@numericable.fr
interdire accès SSH
Bonsoir, Je désire interdire l'accès distant SSH à certains IP. J'ai utilisé : hosts.allow : sshd: ALL hosts.deny : sshd: IP sshd_config : AllowUsers * DenyUsers IP Mais rien n'y fait, soit aucun accès à tout le monde ou accès à tout le monde. Merci d'une aide. andré -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201205110003.03915.andre_deb...@numericable.fr
Re: interdire accès SSH
Le Friday 11 May 2012 à 00:03:03 (+0200), andre_deb...@numericable.fr a écrit : Bonsoir, Je désire interdire l'accès distant SSH à certains IP. J'ai utilisé : hosts.allow : sshd: ALL hosts.deny : sshd: IP sshd_config : AllowUsers * DenyUsers IP Mais rien n'y fait, soit aucun accès à tout le monde ou accès à tout le monde. Merci d'une aide. andré Bonsoir, essaye avec /etc/hosts.allow contenant: sshd: IP /etc/hosts.deny contenant: sshd: ALL /etc/hosts.allow est parcouru en premier, de la première a la dernière règle.Si l'ip matche une règle, ça passe sinon la dernière règle dans hosts.deny est appliquée -- All mail clients suck. This one just sucks less. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20120510225358.ga13...@xavier-office.net