Couper l'accès SSH à une IP au bout de x login

[cedricpc]

Résolu à moitier. Voir première page.

[cedricpc]

Bon je touche presque au but !

J'ai le script pour récuperer l'ip, l'endroit où l'appeller seulement y'a un hic !

iptables v1.2.9: can't initialize iptables table `filter': Permission denied (you must be root)

Perhaps iptables or your kernel needs to be upgraded.

Et oui, c'est pas root qui execute le script ! J'ai plus d'idée ! :(

Le script marcherait si iptables me demanderai pas d'etre root :(

Si vous avez une idée... Merci.

[saintshakajin]

Bah lance le script en root

Sinon, pense à sudo ou à modifer les permissions de ton user pour exécuter telle ou telle commande.

[cedricpc]

Bah j'ai trop envie de donné accès à iptables...

Par contre, j'ai pensé à un trucs !

Il faudrait que le script tourne tout le temps et que l'user envoye un signal un peu comme on peut faire avec trap "cmd" SIGNAL mais qui puisse envoyé des arguments... Je sais pas trop comment faire mais y'a surement moyen !

Toute aide est la bienvenue. :)

Merci par avance !

[nonas]

Tu pourrais lire ça : https://linuxfr.org/~dark_star/18379.html

Il y a quelques commentaires intéressants

[cedricpc]

Hum moui merci, mais ça réponds pas trop à ma dernière question

C'est surtout bannir l'IP, regarder les logs pour bloquer... C'est pas trop ce que je veux. :(

Sinon y'a moyen d'utiliser le module "recent" d'iptables indépendemment ? Enfin du moins supprimer une règle ?

[cedricpc]

[theocrite]

Tu as (au moins) trois solutions : iptables (déjà évoqué au dessus)

les fichier /etc/hosts.deny et /etc/hosts.allow

La directive "ListenAddress ::" dans le fichier /etc/ssh/sshd_config

Si tu veux juste interdire des ip et autoriser toutes les autres par défaut, peut être que les fichiers hosts te conviendrons mieux.

[cedricpc]

Bah je préfère iptables !

La j'ai bien avancé mais il me reste ce dernier problème !

Cf: mes deux derniers posts.

Mci quand même.

PS : Bon le nombre d'attaque s'est réduit considérablement avec une limite de 3 logins pour 1 minute ! Ils font les - trois p'tit logins et puis s'en vont -

Par contre j'ai toujours les logs bourrés de ça :

Jun 8 11:45:00 webcenter sshd[28300]: Did not receive identification string from ::ffff:127.0.0.1

Jun 8 11:50:00 webcenter sshd[28629]: Did not receive identification string from ::ffff:127.0.0.1

Jun 8 11:55:00 webcenter sshd[28958]: Did not receive identification string from ::ffff:127.0.0.1

toutes les 5 mins et c'est lourd ! :(

[nonas]

C'est bizarre, 127.0.0.1 c'est ton loopback normalement

[cedricpc]

Bah ouai. Le pire c'est qu'à 99% des messages de ce type c'est la boucle local. oO

Et puis ça le faisait pas non plus au début !

[16ar]

Je viens de tester ta solution en premiere page (copier/coller et executé) et ca ne marche pas, je peux me logger et tester 20 x les mots de passe avec ou sans utilisateurs valide, et je ne suis nullement bloqué apres 20 essai loupés

:(

As tu continué a chercher ? As tu trouvé ?

[cedricpc]

Désolé de remonter le topic. :)

20x les mots de passe ? Quand tu dis ça, c'est 20 tentatives avec un message comme quoi y'a eu trop d'erreur ou genre t'avais :

toto@192.168.0.1's password:

Access denied.

toto@192.168.0.1's password:

Access denied.

...

Là, je touche presque au but.

[PyKaBoo]

Ne te ferais pas-tu attaquer par un pirate utlisant une technique de spoofing ?

http://www.commentcamarche.net/attaques/us...p-spoofing.php3

Essayes de bloquer la loopback pour l'accès au SSH, normalement t'as aucun interert de te connecter sur ta propre machine via un tunnel SSH.

[cedricpc]

De quoi est-ce que tu parles ?

De ça : Did not receive identification string from ::ffff:127.0.0.1 ?

[Sandeman]

as-tu penser à jouer avec /etc/security/limits.conf ?

sshd s'appuie sur pam qui s'appuie dessus

[cedricpc]

Non, c'est pas vraiment le but recherché...

Ne te ferais pas-tu attaquer par un pirate utlisant une technique de spoofing ?

http://www.commentcamarche.net/attaques/us...p-spoofing.php3

Essayes de bloquer la loopback pour l'accès au SSH, normalement t'as aucun interert de te connecter sur ta propre machine via un tunnel SSH.

Ca me parait bizarre... C'est trop régulier pour être une attaque je trouve ! (Toute les 5 minutes)

Edit : Le regroupement des posts.

Ce message a été modifié par cedricpc le 18-08-2005 17:20:00

[cedricpc]

J'ai mis à jour le premier post. Merci d'aller le lire.

[cedricpc]