ggbce Posté(e) le 16 septembre 2006 Partager Posté(e) le 16 septembre 2006 Salut, Je cherche comment bloquer les requêtes infructueuses répétitives sur OpenSSH Server et je ne trouve aucun paramètre pour ça. Est-ce possible ? Un genre d'option dans sshd_config basé sur la provenance de la requête: "MaxRepetitiveFailLogin=5 attempts" et un "ResetCounter=60 minutes". Ce serait trop facile je crois Lien vers le commentaire Partager sur d’autres sites More sharing options...
zoto Posté(e) le 16 septembre 2006 Partager Posté(e) le 16 septembre 2006 Salut il existe un paquet sous debian, il doit bien exister pour les autre :), qui s'appel fail2ban . Les gens qui tentent un login plusieurs fois vont voir leur ip bannies . Cela creer une regle iptable. a+ Lien vers le commentaire Partager sur d’autres sites More sharing options...
tsubasaleguedin Posté(e) le 16 septembre 2006 Partager Posté(e) le 16 septembre 2006 ssh deux choses: - Soit parametrer iptable pour les bruteforce - Ou tout simplement aller dans sshd.conf et changer le port pour prendre un exotique genre 52630 apres tu te connect ssh toto@xx.xx.xx.xx -p52630 Pour la deuxieme solution c'est largement plus propre car au moins ca tentera pas de connexion, apres les parano il allie les deux methodes. Lien vers le commentaire Partager sur d’autres sites More sharing options...
zoto Posté(e) le 16 septembre 2006 Partager Posté(e) le 16 septembre 2006 Salut La seconde peut etre facilement mise en defaut par un scan de port . Sinon une petite recherche t'aurait donner des docs comme celle la . a+ Lien vers le commentaire Partager sur d’autres sites More sharing options...
sunfun Posté(e) le 16 septembre 2006 Partager Posté(e) le 16 septembre 2006 Salut La seconde peut etre facilement mise en defaut par un scan de port . Sinon une petite recherche t'aurait donner des docs comme celle la . a+ bonjour zoto, je crois que tu as oublié de mettre le lien de ta doc dans ta réponse sunfun Lien vers le commentaire Partager sur d’autres sites More sharing options...
zoto Posté(e) le 16 septembre 2006 Partager Posté(e) le 16 septembre 2006 Salut La seconde peut etre facilement mise en defaut par un scan de port . Sinon une petite recherche t'aurait donner des docs comme celle la . a+ bonjour zoto, je crois que tu as oublié de mettre le lien de ta doc dans ta réponse sunfun Salut oué Un peu fatigué . http://www.ba-cst.com/index.php?option=com...4&Itemid=38 la voila :) a+ Lien vers le commentaire Partager sur d’autres sites More sharing options...
naparuba Posté(e) le 18 septembre 2006 Partager Posté(e) le 18 septembre 2006 Salut La seconde peut etre facilement mise en defaut par un scan de port . Par un scan de ports vertical oui (une seule machine et on scan les ports 1->65535), mais en général c'est plus des scans horizontaux qu'on voit (le même port mais sur une plage d'addresse d'IP). Donc on va dire que changer le port limite tout de même ppas mal la casse façe à un bot par exemple. Un vrai pirate saura qu'il y a de grande chance qu'un serveur ait de lancé ssh et fera donc un scan vertical mais bon. Lien vers le commentaire Partager sur d’autres sites More sharing options...
tsubasaleguedin Posté(e) le 18 septembre 2006 Partager Posté(e) le 18 septembre 2006 generalement les scan de ports automisé vont de 1 a 1024, car les services systeme laissé par defaut sont tjrs dans cette rangé. Deja en decalant le port tu sort de tout les script kiddies, ce qui limite la vision de ton systeme de l'exterieur. Lien vers le commentaire Partager sur d’autres sites More sharing options...
ggbce Posté(e) le 21 septembre 2006 Auteur Partager Posté(e) le 21 septembre 2006 Merci pour vos conseils. J'ai trouvé de mon côté ces paramètres pour sshd_config: MaxAuthTries que j'ai paramétré à 3. Après 3 ereurs SSHD bloque les tentatives, mais c'est pas spécifié si un délai est activé avant de pouvoir se réessayer. LoginGraceTime que j'ai paramétré à 45 (défaut 600). C'est le temps sans activité, avant d'ouvrir la session, en secondes. MaxStartups que j'ai paramétré à 2. Nombre maximum de sessions simultanées provenant de la même adresse IP. Depuis ces modifications, j'ai réduit d'au moins 75% les tentatives tout en restant sur le port 22 ! En modifiant le port, je pourrais surement encore améliorer la situation mais c'est moins évident pour les usagers de les familiariser (retenir le numéro de port non standard). Lien vers le commentaire Partager sur d’autres sites More sharing options...
Arafel Posté(e) le 28 septembre 2006 Partager Posté(e) le 28 septembre 2006 tiens, un petit TIP ... tu devrais aussi changer le port sshd ... tu bloques le port 22, et tu utillises n'importe quel port au dessus de 1024 et dont tu ne te sers pas déjà pour un eggdrop, un messenger, vnc etc ... ca et avec un iptables correctement configuré, tu devrais être en sécurité quasi total... Lien vers le commentaire Partager sur d’autres sites More sharing options...
theocrite Posté(e) le 28 septembre 2006 Partager Posté(e) le 28 septembre 2006 Déjà dit. Mais ce n'est pas ce qu'il y a de plus efficace. Donc on va dire que changer le port limite tout de même ppas mal la casse façe à un bot par exemple. Un vrai pirate saura qu'il y a de grande chance qu'un serveur ait de lancé ssh et fera donc un scan vertical mais bon. Lien vers le commentaire Partager sur d’autres sites More sharing options...
ggbce Posté(e) le 28 septembre 2006 Auteur Partager Posté(e) le 28 septembre 2006 Effectivement ! J'aime beaucoup mieux trouver des solutions spécifiques qui traitent les requêtes qu'un "contournement" de solution en changeant le port. Oui, ça peut éviter que certains hackers puissent repérer mon SSHD, mais n'améliore pas la fiabilité/sécurité de l'application en elle-même. L'utilisation de paramètres qui empêche des requêtes infructueuses est beaucoup plus efficace. Ça serait comme changer le port d'un serveur FTP pour le sécuriser... en laissant la connexion anonymous en upload et penser que c'est une solution de changer le port ! (c'est un peu fort comme comparaison mais c'est l'image donnée) Lien vers le commentaire Partager sur d’autres sites More sharing options...
zoto Posté(e) le 28 septembre 2006 Partager Posté(e) le 28 septembre 2006 salut de toutes les façons peu importe le type de scan, avec nmap on peut scanner des range entier et mettre certaines options qui donne la versions des soft . a+ Lien vers le commentaire Partager sur d’autres sites More sharing options...
sunfun Posté(e) le 24 janvier 2007 Partager Posté(e) le 24 janvier 2007 bonjour à tous, je sais que c'est un sujet résolu, mais comme c'est le seul qui traite de fail2ban et de la sécurisation de sshd, je me suis dit que c'était opportun de poster ma question ici pouvez-vous me dire comment avez-vous fait pour installer fail2ban ? je suis sous debian 2.6.12-2-686 j'ai essayé apt-get install fail2ban, il me demande des packages python j'installe les packages python et les dépendances, mais rien à faire, ça ne fonctionne pas correctement meme l'installation des dépendances python ne fonctionne pas du coup, j'ai du passer un coup de apt-get -f install pour détruire les paquets mal installés pouvez-vous me dire comment je peux procéder, ou si vous avez un tutorial approprié pour expliquer cela ? merci de votre aide sunfun Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.