Jump to content

[RESOLU] [Satisfaisant] Sécuriser SSHD


ggbce

Recommended Posts

Salut,

Je cherche comment bloquer les requêtes infructueuses répétitives sur OpenSSH Server et je ne trouve aucun paramètre pour ça. Est-ce possible ?

Un genre d'option dans sshd_config basé sur la provenance de la requête: "MaxRepetitiveFailLogin=5 attempts" et un "ResetCounter=60 minutes".

Ce serait trop facile je crois :transpi:

Link to comment
Share on other sites

ssh deux choses:

- Soit parametrer iptable pour les bruteforce

- Ou tout simplement aller dans sshd.conf et changer le port pour prendre un exotique genre 52630 apres tu te connect

ssh toto@xx.xx.xx.xx -p52630

Pour la deuxieme solution c'est largement plus propre car au moins ca tentera pas de connexion, apres les parano il allie les deux methodes.

Link to comment
Share on other sites

Salut

La seconde peut etre facilement mise en defaut par un scan de port .

Par un scan de ports vertical oui (une seule machine et on scan les ports 1->65535), mais en général c'est plus des scans horizontaux qu'on voit (le même port mais sur une plage d'addresse d'IP).

Donc on va dire que changer le port limite tout de même ppas mal la casse façe à un bot par exemple. Un vrai pirate saura qu'il y a de grande chance qu'un serveur ait de lancé ssh et fera donc un scan vertical mais bon.

Link to comment
Share on other sites

Merci pour vos conseils.

J'ai trouvé de mon côté ces paramètres pour sshd_config:

MaxAuthTries que j'ai paramétré à 3. Après 3 ereurs SSHD bloque les tentatives, mais c'est pas spécifié si un délai est activé avant de pouvoir se réessayer.

LoginGraceTime que j'ai paramétré à 45 (défaut 600). C'est le temps sans activité, avant d'ouvrir la session, en secondes.

MaxStartups que j'ai paramétré à 2. Nombre maximum de sessions simultanées provenant de la même adresse IP.

Depuis ces modifications, j'ai réduit d'au moins 75% les tentatives tout en restant sur le port 22 ! En modifiant le port, je pourrais surement encore améliorer la situation mais c'est moins évident pour les usagers de les familiariser (retenir le numéro de port non standard).

Link to comment
Share on other sites

tiens, un petit TIP ...

tu devrais aussi changer le port sshd ... tu bloques le port 22, et tu utillises n'importe quel port au dessus de 1024 et dont tu ne te sers pas déjà pour un eggdrop, un messenger, vnc etc ...

ca et avec un iptables correctement configuré, tu devrais être en sécurité quasi total... :D

Link to comment
Share on other sites

Déjà dit. Mais ce n'est pas ce qu'il y a de plus efficace.

Donc on va dire que changer le port limite tout de même ppas mal la casse façe à un bot par exemple. Un vrai pirate saura qu'il y a de grande chance qu'un serveur ait de lancé ssh et fera donc un scan vertical mais bon.
Link to comment
Share on other sites

Effectivement !

J'aime beaucoup mieux trouver des solutions spécifiques qui traitent les requêtes qu'un "contournement" de solution en changeant le port. Oui, ça peut éviter que certains hackers puissent repérer mon SSHD, mais n'améliore pas la fiabilité/sécurité de l'application en elle-même. L'utilisation de paramètres qui empêche des requêtes infructueuses est beaucoup plus efficace.

Ça serait comme changer le port d'un serveur FTP pour le sécuriser... en laissant la connexion anonymous en upload et penser que c'est une solution de changer le port ! (c'est un peu fort comme comparaison mais c'est l'image donnée)

Link to comment
Share on other sites

  • 3 months later...

bonjour à tous,

je sais que c'est un sujet résolu, mais comme c'est le seul qui traite de fail2ban et de la sécurisation de sshd, je me suis dit que c'était opportun de poster ma question ici :chinois:

pouvez-vous me dire comment avez-vous fait pour installer fail2ban ?

je suis sous debian 2.6.12-2-686

j'ai essayé apt-get install fail2ban, il me demande des packages python

j'installe les packages python et les dépendances, mais rien à faire, ça ne fonctionne pas correctement

meme l'installation des dépendances python ne fonctionne pas

du coup, j'ai du passer un coup de apt-get -f install pour détruire les paquets mal installés

pouvez-vous me dire comment je peux procéder, ou si vous avez un tutorial approprié pour expliquer cela ?

merci de votre aide :eeek2:

sunfun :smack:

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...