Jump to content

Archived

This topic is now archived and is closed to further replies.

cedricpc

Couper l'accès SSH à une IP au bout de x login

Recommended Posts

Bon je touche presque au but ! :craint:

J'ai le script pour récuperer l'ip, l'endroit où l'appeller seulement y'a un hic !

iptables v1.2.9: can't initialize iptables table `filter': Permission denied (you must be root)

Perhaps iptables or your kernel needs to be upgraded.

Et oui, c'est pas root qui execute le script ! J'ai plus d'idée ! :(

Le script marcherait si iptables me demanderai pas d'etre root :(

Si vous avez une idée... Merci.

Share this post


Link to post
Share on other sites

Bah lance le script en root :craint:

Sinon, pense à sudo ou à modifer les permissions de ton user pour exécuter telle ou telle commande.

Share this post


Link to post
Share on other sites

Bah j'ai trop envie de donné accès à iptables...

Par contre, j'ai pensé à un trucs !

Il faudrait que le script tourne tout le temps et que l'user envoye un signal un peu comme on peut faire avec trap "cmd" SIGNAL mais qui puisse envoyé des arguments... Je sais pas trop comment faire mais y'a surement moyen !

Toute aide est la bienvenue. :)

Merci par avance !

Share this post


Link to post
Share on other sites

Hum moui merci, mais ça réponds pas trop à ma dernière question :p

C'est surtout bannir l'IP, regarder les logs pour bloquer... C'est pas trop ce que je veux. :(

Sinon y'a moyen d'utiliser le module "recent" d'iptables indépendemment ? Enfin du moins supprimer une règle ?

Share this post


Link to post
Share on other sites

Tu as (au moins) trois solutions : iptables (déjà évoqué au dessus)

les fichier /etc/hosts.deny et /etc/hosts.allow

La directive "ListenAddress ::" dans le fichier /etc/ssh/sshd_config

Si tu veux juste interdire des ip et autoriser toutes les autres par défaut, peut être que les fichiers hosts te conviendrons mieux.

Share this post


Link to post
Share on other sites

Bah je préfère iptables !

La j'ai bien avancé mais il me reste ce dernier problème !

Cf: mes deux derniers posts.

Mci quand même.

PS : Bon le nombre d'attaque s'est réduit considérablement avec une limite de 3 logins pour 1 minute ! Ils font les - trois p'tit logins et puis s'en vont - :francais:

Par contre j'ai toujours les logs bourrés de ça :

Jun 8 11:45:00 webcenter sshd[28300]: Did not receive identification string from ::ffff:127.0.0.1

Jun 8 11:50:00 webcenter sshd[28629]: Did not receive identification string from ::ffff:127.0.0.1

Jun 8 11:55:00 webcenter sshd[28958]: Did not receive identification string from ::ffff:127.0.0.1

toutes les 5 mins et c'est lourd ! :(

Share this post


Link to post
Share on other sites

C'est bizarre, 127.0.0.1 c'est ton loopback normalement :transpi:

Share this post


Link to post
Share on other sites

Bah ouai. Le pire c'est qu'à 99% des messages de ce type c'est la boucle local. oO

Et puis ça le faisait pas non plus au début !

Share this post


Link to post
Share on other sites

Je viens de tester ta solution en premiere page (copier/coller et executé) et ca ne marche pas, je peux me logger et tester 20 x les mots de passe avec ou sans utilisateurs valide, et je ne suis nullement bloqué apres 20 essai loupés

:(

As tu continué a chercher ? As tu trouvé ?

Share this post


Link to post
Share on other sites

Désolé de remonter le topic. :)

20x les mots de passe ? Quand tu dis ça, c'est 20 tentatives avec un message comme quoi y'a eu trop d'erreur ou genre t'avais :

toto@192.168.0.1's password:

Access denied.

toto@192.168.0.1's password:

Access denied.

...

Là, je touche presque au but.

Share this post


Link to post
Share on other sites

De quoi est-ce que tu parles ?

De ça : Did not receive identification string from ::ffff:127.0.0.1 ?

Share this post


Link to post
Share on other sites

as-tu penser à jouer avec /etc/security/limits.conf ?

sshd s'appuie sur pam qui s'appuie dessus

Share this post


Link to post
Share on other sites
Non, c'est pas vraiment le but recherché...
Ne te ferais pas-tu attaquer par un pirate utlisant une technique de spoofing ?

http://www.commentcamarche.net/attaques/us...p-spoofing.php3

Essayes de bloquer la loopback pour l'accès au SSH, normalement t'as aucun interert de te connecter sur ta propre machine via un tunnel SSH.

Ca me parait bizarre... C'est trop régulier pour être une attaque je trouve ! (Toute les 5 minutes)

Edit : Le regroupement des posts.

Ce message a été modifié par cedricpc le 18-08-2005 17:20:00

Share this post


Link to post
Share on other sites

×
×
  • Create New...