ggbce Posted September 16, 2006 Share Posted September 16, 2006 Salut, Je cherche comment bloquer les requêtes infructueuses répétitives sur OpenSSH Server et je ne trouve aucun paramètre pour ça. Est-ce possible ? Un genre d'option dans sshd_config basé sur la provenance de la requête: "MaxRepetitiveFailLogin=5 attempts" et un "ResetCounter=60 minutes". Ce serait trop facile je crois Link to comment Share on other sites More sharing options...
zoto Posted September 16, 2006 Share Posted September 16, 2006 Salut il existe un paquet sous debian, il doit bien exister pour les autre :), qui s'appel fail2ban . Les gens qui tentent un login plusieurs fois vont voir leur ip bannies . Cela creer une regle iptable. a+ Link to comment Share on other sites More sharing options...
tsubasaleguedin Posted September 16, 2006 Share Posted September 16, 2006 ssh deux choses: - Soit parametrer iptable pour les bruteforce - Ou tout simplement aller dans sshd.conf et changer le port pour prendre un exotique genre 52630 apres tu te connect ssh toto@xx.xx.xx.xx -p52630 Pour la deuxieme solution c'est largement plus propre car au moins ca tentera pas de connexion, apres les parano il allie les deux methodes. Link to comment Share on other sites More sharing options...
zoto Posted September 16, 2006 Share Posted September 16, 2006 Salut La seconde peut etre facilement mise en defaut par un scan de port . Sinon une petite recherche t'aurait donner des docs comme celle la . a+ Link to comment Share on other sites More sharing options...
sunfun Posted September 16, 2006 Share Posted September 16, 2006 Salut La seconde peut etre facilement mise en defaut par un scan de port . Sinon une petite recherche t'aurait donner des docs comme celle la . a+ bonjour zoto, je crois que tu as oublié de mettre le lien de ta doc dans ta réponse sunfun Link to comment Share on other sites More sharing options...
zoto Posted September 16, 2006 Share Posted September 16, 2006 Salut La seconde peut etre facilement mise en defaut par un scan de port . Sinon une petite recherche t'aurait donner des docs comme celle la . a+ bonjour zoto, je crois que tu as oublié de mettre le lien de ta doc dans ta réponse sunfun Salut oué Un peu fatigué . http://www.ba-cst.com/index.php?option=com...4&Itemid=38 la voila :) a+ Link to comment Share on other sites More sharing options...
naparuba Posted September 18, 2006 Share Posted September 18, 2006 Salut La seconde peut etre facilement mise en defaut par un scan de port . Par un scan de ports vertical oui (une seule machine et on scan les ports 1->65535), mais en général c'est plus des scans horizontaux qu'on voit (le même port mais sur une plage d'addresse d'IP). Donc on va dire que changer le port limite tout de même ppas mal la casse façe à un bot par exemple. Un vrai pirate saura qu'il y a de grande chance qu'un serveur ait de lancé ssh et fera donc un scan vertical mais bon. Link to comment Share on other sites More sharing options...
tsubasaleguedin Posted September 18, 2006 Share Posted September 18, 2006 generalement les scan de ports automisé vont de 1 a 1024, car les services systeme laissé par defaut sont tjrs dans cette rangé. Deja en decalant le port tu sort de tout les script kiddies, ce qui limite la vision de ton systeme de l'exterieur. Link to comment Share on other sites More sharing options...
ggbce Posted September 21, 2006 Author Share Posted September 21, 2006 Merci pour vos conseils. J'ai trouvé de mon côté ces paramètres pour sshd_config: MaxAuthTries que j'ai paramétré à 3. Après 3 ereurs SSHD bloque les tentatives, mais c'est pas spécifié si un délai est activé avant de pouvoir se réessayer. LoginGraceTime que j'ai paramétré à 45 (défaut 600). C'est le temps sans activité, avant d'ouvrir la session, en secondes. MaxStartups que j'ai paramétré à 2. Nombre maximum de sessions simultanées provenant de la même adresse IP. Depuis ces modifications, j'ai réduit d'au moins 75% les tentatives tout en restant sur le port 22 ! En modifiant le port, je pourrais surement encore améliorer la situation mais c'est moins évident pour les usagers de les familiariser (retenir le numéro de port non standard). Link to comment Share on other sites More sharing options...
Arafel Posted September 28, 2006 Share Posted September 28, 2006 tiens, un petit TIP ... tu devrais aussi changer le port sshd ... tu bloques le port 22, et tu utillises n'importe quel port au dessus de 1024 et dont tu ne te sers pas déjà pour un eggdrop, un messenger, vnc etc ... ca et avec un iptables correctement configuré, tu devrais être en sécurité quasi total... Link to comment Share on other sites More sharing options...
theocrite Posted September 28, 2006 Share Posted September 28, 2006 Déjà dit. Mais ce n'est pas ce qu'il y a de plus efficace. Donc on va dire que changer le port limite tout de même ppas mal la casse façe à un bot par exemple. Un vrai pirate saura qu'il y a de grande chance qu'un serveur ait de lancé ssh et fera donc un scan vertical mais bon. Link to comment Share on other sites More sharing options...
ggbce Posted September 28, 2006 Author Share Posted September 28, 2006 Effectivement ! J'aime beaucoup mieux trouver des solutions spécifiques qui traitent les requêtes qu'un "contournement" de solution en changeant le port. Oui, ça peut éviter que certains hackers puissent repérer mon SSHD, mais n'améliore pas la fiabilité/sécurité de l'application en elle-même. L'utilisation de paramètres qui empêche des requêtes infructueuses est beaucoup plus efficace. Ça serait comme changer le port d'un serveur FTP pour le sécuriser... en laissant la connexion anonymous en upload et penser que c'est une solution de changer le port ! (c'est un peu fort comme comparaison mais c'est l'image donnée) Link to comment Share on other sites More sharing options...
zoto Posted September 28, 2006 Share Posted September 28, 2006 salut de toutes les façons peu importe le type de scan, avec nmap on peut scanner des range entier et mettre certaines options qui donne la versions des soft . a+ Link to comment Share on other sites More sharing options...
sunfun Posted January 24, 2007 Share Posted January 24, 2007 bonjour à tous, je sais que c'est un sujet résolu, mais comme c'est le seul qui traite de fail2ban et de la sécurisation de sshd, je me suis dit que c'était opportun de poster ma question ici pouvez-vous me dire comment avez-vous fait pour installer fail2ban ? je suis sous debian 2.6.12-2-686 j'ai essayé apt-get install fail2ban, il me demande des packages python j'installe les packages python et les dépendances, mais rien à faire, ça ne fonctionne pas correctement meme l'installation des dépendances python ne fonctionne pas du coup, j'ai du passer un coup de apt-get -f install pour détruire les paquets mal installés pouvez-vous me dire comment je peux procéder, ou si vous avez un tutorial approprié pour expliquer cela ? merci de votre aide sunfun Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.