Posté(e) le 16 septembre 200618 a Salut, Je cherche comment bloquer les requêtes infructueuses répétitives sur OpenSSH Server et je ne trouve aucun paramètre pour ça. Est-ce possible ? Un genre d'option dans sshd_config basé sur la provenance de la requête: "MaxRepetitiveFailLogin=5 attempts" et un "ResetCounter=60 minutes". Ce serait trop facile je crois Modifié le 21 septembre 200618 a par ggbce
Posté(e) le 16 septembre 200618 a Salut il existe un paquet sous debian, il doit bien exister pour les autre :), qui s'appel fail2ban . Les gens qui tentent un login plusieurs fois vont voir leur ip bannies . Cela creer une regle iptable. a+
Posté(e) le 16 septembre 200618 a ssh deux choses: - Soit parametrer iptable pour les bruteforce - Ou tout simplement aller dans sshd.conf et changer le port pour prendre un exotique genre 52630 apres tu te connect ssh toto@xx.xx.xx.xx -p52630 Pour la deuxieme solution c'est largement plus propre car au moins ca tentera pas de connexion, apres les parano il allie les deux methodes.
Posté(e) le 16 septembre 200618 a Salut La seconde peut etre facilement mise en defaut par un scan de port . Sinon une petite recherche t'aurait donner des docs comme celle la . a+
Posté(e) le 16 septembre 200618 a Salut La seconde peut etre facilement mise en defaut par un scan de port . Sinon une petite recherche t'aurait donner des docs comme celle la . a+ bonjour zoto, je crois que tu as oublié de mettre le lien de ta doc dans ta réponse sunfun
Posté(e) le 16 septembre 200618 a Salut La seconde peut etre facilement mise en defaut par un scan de port . Sinon une petite recherche t'aurait donner des docs comme celle la . a+ bonjour zoto, je crois que tu as oublié de mettre le lien de ta doc dans ta réponse sunfun Salut oué Un peu fatigué . http://www.ba-cst.com/index.php?option=com...4&Itemid=38 la voila :) a+
Posté(e) le 18 septembre 200618 a Salut La seconde peut etre facilement mise en defaut par un scan de port . Par un scan de ports vertical oui (une seule machine et on scan les ports 1->65535), mais en général c'est plus des scans horizontaux qu'on voit (le même port mais sur une plage d'addresse d'IP). Donc on va dire que changer le port limite tout de même ppas mal la casse façe à un bot par exemple. Un vrai pirate saura qu'il y a de grande chance qu'un serveur ait de lancé ssh et fera donc un scan vertical mais bon.
Posté(e) le 18 septembre 200618 a generalement les scan de ports automisé vont de 1 a 1024, car les services systeme laissé par defaut sont tjrs dans cette rangé. Deja en decalant le port tu sort de tout les script kiddies, ce qui limite la vision de ton systeme de l'exterieur.
Posté(e) le 21 septembre 200618 a Auteur Merci pour vos conseils. J'ai trouvé de mon côté ces paramètres pour sshd_config: MaxAuthTries que j'ai paramétré à 3. Après 3 ereurs SSHD bloque les tentatives, mais c'est pas spécifié si un délai est activé avant de pouvoir se réessayer. LoginGraceTime que j'ai paramétré à 45 (défaut 600). C'est le temps sans activité, avant d'ouvrir la session, en secondes. MaxStartups que j'ai paramétré à 2. Nombre maximum de sessions simultanées provenant de la même adresse IP. Depuis ces modifications, j'ai réduit d'au moins 75% les tentatives tout en restant sur le port 22 ! En modifiant le port, je pourrais surement encore améliorer la situation mais c'est moins évident pour les usagers de les familiariser (retenir le numéro de port non standard).
Posté(e) le 28 septembre 200618 a tiens, un petit TIP ... tu devrais aussi changer le port sshd ... tu bloques le port 22, et tu utillises n'importe quel port au dessus de 1024 et dont tu ne te sers pas déjà pour un eggdrop, un messenger, vnc etc ... ca et avec un iptables correctement configuré, tu devrais être en sécurité quasi total...
Posté(e) le 28 septembre 200618 a Déjà dit. Mais ce n'est pas ce qu'il y a de plus efficace. Donc on va dire que changer le port limite tout de même ppas mal la casse façe à un bot par exemple. Un vrai pirate saura qu'il y a de grande chance qu'un serveur ait de lancé ssh et fera donc un scan vertical mais bon.
Posté(e) le 28 septembre 200618 a Auteur Effectivement ! J'aime beaucoup mieux trouver des solutions spécifiques qui traitent les requêtes qu'un "contournement" de solution en changeant le port. Oui, ça peut éviter que certains hackers puissent repérer mon SSHD, mais n'améliore pas la fiabilité/sécurité de l'application en elle-même. L'utilisation de paramètres qui empêche des requêtes infructueuses est beaucoup plus efficace. Ça serait comme changer le port d'un serveur FTP pour le sécuriser... en laissant la connexion anonymous en upload et penser que c'est une solution de changer le port ! (c'est un peu fort comme comparaison mais c'est l'image donnée)
Posté(e) le 28 septembre 200618 a salut de toutes les façons peu importe le type de scan, avec nmap on peut scanner des range entier et mettre certaines options qui donne la versions des soft . a+
Posté(e) le 24 janvier 200718 a bonjour à tous, je sais que c'est un sujet résolu, mais comme c'est le seul qui traite de fail2ban et de la sécurisation de sshd, je me suis dit que c'était opportun de poster ma question ici pouvez-vous me dire comment avez-vous fait pour installer fail2ban ? je suis sous debian 2.6.12-2-686 j'ai essayé apt-get install fail2ban, il me demande des packages python j'installe les packages python et les dépendances, mais rien à faire, ça ne fonctionne pas correctement meme l'installation des dépendances python ne fonctionne pas du coup, j'ai du passer un coup de apt-get -f install pour détruire les paquets mal installés pouvez-vous me dire comment je peux procéder, ou si vous avez un tutorial approprié pour expliquer cela ? merci de votre aide sunfun
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.