[FRsAG] Re: Filtrage de message au runtime

https://unix.stackexchange.com/questions/13019/description-of-kernel-printk-values > Le 25 avr. 2024 à 14:46, Stéphane Rivière a écrit : > > Bonjour à toutes et tous, > > J'ai, comme tout le monde j'imagine,

[FRsAG] Re: Filtrage de message au runtime

Le Thu, Apr 25, 2024 at 02:46:37PM +0200, Stéphane Rivière a écrit: > Avez-vous une opinion ? Ça serait bien de faire un ménage de printemps :) Une double solution... 1/ autoriser tout ce que tu connais et qui a une IP fixe 2/ pour les autres, ouvrir le port après un port-knocking. Plus de probl

[FRsAG] Re: Filtrage de message au runtime

Paul, Alors oui, j’aurais été tenté de penser pareil, mais je vois que mon sshd sur une Debian classique log déjà vers AUTH.INFO, alors que les lignes de conf sont commentées. Donc ça doit être configuré par défaut, donc je sais pas si enlever les commentaires vont supprimer l’envoi des message

[FRsAG] Re: Filtrage de message au runtime

Ce n'est pas forcément lié, mais j'ai fini par sauter le pas de changer le port de sshd sur mes rebonds, c'est de la sécurité par l'obscurité, je n'aime pas, mais ca m'a permis d'avoir un endlessh sur le port 22, et de d'occuper un peu les kiddies qui tentent du bruteforce. si jamais tu as un prom

[FRsAG] Re: Filtrage de message au runtime

Bonjour, Je remets le bon sender pour pas me faire bloquer. On Thu, 25 Apr 2024 15:44:58 +0200 David Ponzone wrote: > Alors oui, j’aurais été tenté de penser pareil, mais je vois que mon sshd > sur une Debian classique log déjà vers AUTH.INFO, alors que les lignes de > conf sont commentées. Don

[FRsAG] Re: Filtrage de message au runtime

Bon, j’ai pris 5 min, et moi j’ai rien sur la console. Parce que j’ai rsyslogd partout. Ca doit être la conf par défaut de syslogd qui envoie des trucs sur /dev/console. Stéphane, tu as donc les 2 solutions possibles: -mettre rsyslog -reconfigurer syslogd David > Le 25 avr. 2024 à 17:34, Paul R

[FRsAG] Re: Filtrage de message au runtime

Le 25/04/2024 à 14:46, Stéphane Rivière a écrit : Bonjour à toutes et tous, J'ai, comme tout le monde j'imagine, de la brute force via ssh, qui déclenche le très agaçant message en console "fatal: Read from socket failed: Connection reset by peer [preauth]" D'après mes notes, ce type de mess

[FRsAG] Re: Filtrage de message au runtime

Le 25/04/2024 à 17:29, Sebastien Guilbaud a écrit : c'est de la sécurité par l'obscurité, C'est la mesure la plus efficace (sauf si c'est la seule). je n'aime pas, mais ca m'a permis d'avoir un endlessh sur le port 22, et de d'occuper un peu les kiddies qui tentent du bruteforce. Changer le

[FRsAG] Re: Filtrage de message au runtime

Tu peux toujours mettre sur le port 22 un honeypot avec un shell sandboxé, qui a comme prompt: WOPR> > Le 25 avr. 2024 à 18:27, Laurent Barme <2...@barme.fr> a écrit : > > > Le 25/04/2024 à 17:29, Sebastien Guilbaud a écrit : > >> c'est de la sécurité par l'obscurité, > C'est la mesure la pl

[FRsAG] Re: Filtrage de message au runtime

Hello again, Selon la suggestion (qui me convient bien) de David, je regarde ce que propose Debian par défaut sur une instance de test... sysctl kernel.printk kernel.printk = 7    4    1    7 Donc je traduis, grâce au lien de David : console_loglevel = 7  messages with a higher prior

[FRsAG] Re: Filtrage de message au runtime

Mais non t’es à la bourre de 2/3 mails. Installe rsyslog, c’est de toute façon plus puissant que syslogd et tu auras plus de messages sur la console, si j’ai bien compris. En tout cas, je n’en ai pas sur mes Debian (10/11/12), sauf si j’ajoute dans rsyslogd.conf: auth.* /dev/console Da

[FRsAG] Re: Filtrage de message au runtime

> Le 25/04/2024 à 17:29, Sebastien Guilbaud a écrit : > > > c'est de la sécurité par l'obscurité, > C'est la mesure la plus efficace (sauf si c'est la seule). > bof, se dire que les vilains ne trouveront pas le service ssh vu que tu l'as mis sur un autre port, ca peut donner une fausse sensation d

[FRsAG] Re: Filtrage de message au runtime

Le 25/04/2024 à 23:07, Sebastien Guilbaud a écrit : Le 25/04/2024 à 17:29, Sebastien Guilbaud a écrit : > c'est de la sécurité par l'obscurité, C'est la mesure la plus efficace (sauf si c'est la seule). bof, se dire que les vilains ne trouveront pas le service ssh vu que tu l'as

[FRsAG] Re: Filtrage de message au runtime

Le jeudi 25 avril 2024 (17:29), Sebastien Guilbaud écrivait : > > Ce n'est pas forcément lié, mais j'ai fini par sauter le pas de changer le > port > de sshd sur mes rebonds, c'est de la sécurité par l'obscurité, N'autoriser ssh qu'en IPv6 n'est-il pas aussi une solution pour limiter les scans ?

[FRsAG] Re: Filtrage de message au runtime

Un petit retex de la manip, qui ne semble pas concluante...  1265  25/04/2024 18:37:33 sysctl -w kernel.printk=4    4    1    7  1266  25/04/2024 18:37:45 sysctl -w 'kernel.printk=4    4    1 7'  1268  26/04/2024 13:34:26 sysctl -w 'kernel.printk=4    4    1 4'  1274  26/04/2024 14:55:13 sysctl -

[FRsAG] Re: Filtrage de message au runtime

Mais pourquoi tu fais pas ce que je te dis ? :) David > Le 28 avr. 2024 à 19:24, Stéphane Rivière a écrit : > > Un petit retex de la manip, qui ne semble pas concluante... > > 1265 25/04/2024 18:37:33 sysctl -w kernel.printk=4417 > 1266 25/04/2024 18:37:45 sysctl -w 'kernel.pri

[FRsAG] Re: Filtrage de message au runtime

Hello, On Sun, 28 Apr 2024 19:32:08 +0200 David Ponzone wrote: > Mais pourquoi tu fais pas ce que je te dis ? :) Le dimanche, ils se reponsent dans les iles :D Paul ___ Liste de diffusion du %(real_name)s http://www.frsag.org/

[FRsAG] Re: Filtrage de message au runtime

Ouais, et je connais les petits blancs d’Oléron. Bien frais, ça se boit plutôt tranquille et sans modération :) David > Le 29 avr. 2024 à 10:31, Paul Rolland (ポール・ロラン) a écrit > : > > Hello, > > On Sun, 28 Apr 2024 19:32:08 +0200 > David Ponzone wrote: > >> Mais pourquoi tu fais pas ce que

[FRsAG] Re: Filtrage de message au runtime

De : David Ponzone Envoyé : dimanche 28 avril 2024 19:32 À : Stéphane Rivière Cc : frsag@frsag.org Objet : [FRsAG] Re: Filtrage de message au runtime Mais pourquoi tu fais pas ce que je te dis ? :) David > Le 28 avr. 2024 à 19:24, Stéphane Rivière a écrit :

[FRsAG] Re: Filtrage de message au runtime

Le 28/04/2024 à 19:32, David Ponzone a écrit : Mais pourquoi tu fais pas ce que je te dis ? :) T'as dis quoi ? -- Stéphane Rivière Ile d'Oléron - France ___ Liste de diffusion du %(real_name)s http://www.frsag.org/

[FRsAG] Re: Filtrage de message au runtime

(CQFD, abus en petit blanc d’Oléron pendant les HO) De virer syslogd et mettre rsyslogd. David > Le 29 avr. 2024 à 11:08, Stéphane Rivière a écrit : > > Le 28/04/2024 à 19:32, David Ponzone a écrit : >> Mais pourquoi tu fais pas ce que je te dis ? :) > T'as dis quoi ? > > -- > Stéphane Riviè

[FRsAG] Re: Filtrage de message au runtime

Le 29/04/2024 à 11:10, David Ponzone a écrit : (CQFD, abus en petit blanc d’Oléron pendant les HO) Faudra que tu me donnes le GDH de ton mail, je me demande qui abuse de quoi ;> Hélas hier, j'étais de permanence et j'ai bronzé devant l'écran... Hormis un court séjour sur la terrasse de la b

[FRsAG] Re: Filtrage de message au runtime

Hello, On Fri, Apr 26, 2024, 09:44 Laurent Barme <2...@barme.fr> wrote: > La "sécurité par l'obscurité" est une meilleure approche que sa > réputation ne le laisse entendre. > On est d'accord ! La sécurité est un empilement de petits gains, et changer les ports en est un. Plutôt qu'obscurité, c

[FRsAG] Re: Filtrage de message au runtime

Hello, > Plutôt qu'obscurité, c'est un avantage en discrétion.. par exemple en > disparaissant de Shodan Alors pas tout à fait. Changer le port te permettra juste de ne plus remonter dans les résultats Shodan des services écoutant sur le port 22. Tu apparaitra tout de même dans les résultats d

[FRsAG] Re: Filtrage de message au runtime

Le Mon, Apr 29, 2024 at 09:52:23AM +, Louis G. via FRsAG a écrit: > - passer par un VPN > - faire du port knocking > - désactiver IPv4 au profit d’IPv6 > Cela dit si quelqu’un a d’autres astuces ça m’intéresse. Filtrer les IP autorisées à se connecter, tout simplement ? :) iptables -A INPUT -

[FRsAG] Re: Filtrage de message au runtime

Le 29/04/2024 à 11:03, ANSART David a écrit : Bonjour As tu essayé le : kernel.printk = 3 4 1 7  ? Ne présumant de rien (malgré les tests ci-dessous), j'ai tenté :) 11:10-root@i7c1:~>sysctl -w kernel.printk='3    4    1    7' kernel.printk = 3    4    1    7 11:10-root@i7c1:~>2024 Apr 29 11:

[FRsAG] Re: Filtrage de message au runtime

> Filtrer les IP autorisées à se connecter, tout simplement ? :) > > iptables -A INPUT -s 1.2.3.4/32 -p tcp --dport 22 -j ACCEPT > > iptables -A INPUT -p tcp --dport 22 -j DROP Mouarf, je suis pas fan. Si on autorise le télétravail (mais qui fait ça en 2024 ? 🙃), alors l’IP des admins est rarem

[FRsAG] Re: Filtrage de message au runtime

Il ne faut jamais laisser le port ssh directement sur le net sans filtrage de la source  ... Mettre en place par exemple un "site" web d'ouverture du/des ports. Par exemple un vhost : https://remoteadm.mydomain.com/server1/ Mise en place : Créer un vhost sur le serveur (beaucoup mieux : créer

[FRsAG] Re: Filtrage de message au runtime

C’est pas une critique mais ça veut dire que tu fais plus confiance à l’auth HTTPS qu’à l’auth SSH ? David > Le 1 mai 2024 à 20:34, Ludovic LEVET via FRsAG a écrit : > > Il ne faut jamais laisser le port ssh directement sur le net sans filtrage de > la source ... > > Mettre en place par exe

[FRsAG] Re: Filtrage de message au runtime

Heu ... Déjà : 1) Si tu as pas le vhost + url complete, ben t'arriveras déjà a rien ... 2) l'auth https + 2fa , oui pas de brute force dessus si configuré correctement (max retry 3, fail2ban ... )... 3) Bon ... (Mode Bigard On ..) En admettant que la chauves-souris elle trouve le code de la

[FRsAG] Re: Filtrage de message au runtime

On Mon, Apr 29, 2024, 11:52 Louis G. wrote: > Alors pas tout à fait. Changer le port te permettra juste de ne plus > remonter dans les résultats Shodan des services écoutant sur le port 22. Tu > apparaitra tout de même dans les résultats des recherches qui ciblent SSH > (voir plus précisément sur

[FRsAG] Re: Filtrage de message au runtime

C'est pas faux. C'est jamais une bonne idée de donner des commandes accessible par apache. Bon après, il y a la sécurité filesystem qui fera que ce user (apache) ai le même pourvoir qu'un user lamda sur ton linux et de plus les commandes ne peuvent être utilisées que par le core apache car le

[FRsAG] Re: Filtrage de message au runtime

Totalement. Par contre (j’insiste), je ne vois jamais aucune discussion sur l’usage du plugin 2FA Google avec openssh. Y a des raisons de l’éviter ? David > Le 2 mai 2024 à 17:37, Ludovic Levet via FRsAG a écrit : > > C'est pas faux. C'est jamais une bonne idée de donner des commandes > acce

[FRsAG] Re: Filtrage de message au runtime

Non, pas de problème. J'utilise aussi 2FA sur ssh. C'est une sécurité supplémentaire. Le 02/05/2024 à 17:43, David Ponzone a écrit : Totalement. Par contre (j’insiste), je ne vois jamais aucune discussion sur l’usage du plugin 2FA Google avec openssh. Y a des raisons de l’éviter ? David L