tentatives de piratage par ssh !!!

[vince83]

bonsoir je m'apperçois depuis 2 semaines que parfois dans mes logs j'ai des tentatives d'intrusions par ssh dans mon serveur.
j'ai remarqué de base que lorsque je teste 4 mots de passes erronées le ssh se bloque et il faut alors relancer la commande.
n'y aurais t'il pas moyen de faire bloquer le ssh apres 2 ou 4 essais mais qu'il se bloque pendant un certain temps (10 minutes par exemple afin de decourager certains ...).

En ce qui concerne les intrusions on m'a dis que je pouvais envoyer un extrais de mes logs a mon provider qui lui pourrait retrouver avec l'ip et la date les coordonnées du pirate et lui envoyer un mail d'avertissement ; cette technique peut elle fonctionner ???.

sinon je pensais moi faire un shell recuperant les ip dans mes fichiers log qui apparaissent apres 2 ou 3 erreurs et les mettre dans le fichier host_deny de ssh ; mais ce serais en dernier recours car un peu violant !!!

merci de vos lumieres .

[Muzo]

Salut,

Si tu es sous SME 5.6, j'espère que tu as fait les mises à jours de ssh, il y avait une faille induite dans le code.

Pas contre en 6.0 cela est intégré.

Peux-être est-ce quelqu'un tentant d'utiliser cette vieille faille.

[hypnos]

J'avais le meme probleme que toi , mais sous debian.
J'ai changé le port d'ecoute et depuis plus de probleme de ce niveau la.
Enfin sinon , si t'es a jour au niveau sécurité ssh et que tu as de bons mots de passe pour tous les comptes, y'a pas à s'inquiéter.
Mais bon continue à regarder tes logs

[vince83]

Pour repondre à Muzo je suis sous sme 6.0-1
donc si j'ai bien compris avec un bon mot de passe ça devrais etre suffisament securisé ...

sinon tu dis que tu as changé le port d'ecoute tu as fait ça dans ssh_config ??

merci

[KiBi]

Bonjour,

en général la configuration du client SSH se fait dans ssh_config, et la configuration du serveur se fait dans sshd_config (d pour ... ). Le début dudit fichier :

--- /etc/ssh/sshd_config
# Package generated configuration file
# See the sshd(8) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# [... tout plein d'autres choses ... ]
---

Il te suffit alors de mettre un autre port et le tour est joué. Je ne connais pas SME, mais j'imagine que cela fonctionne de la même manière que pour openssh.

Hope que help

[MasterSleepy]

Salut,

Voici la méthode pour modifier le port du daemon ssh sur une SME 5.6 et 6.0.

Créatin du répertoire de template

Code: Tout sélectionner

mkdir -p /etc/e-smith/templates-custom/etc/ssh/sshd_config/


Création du template de fichier

Code: Tout sélectionner

pico /etc/e-smith/templates-custom/etc/ssh/sshd_config/10Port


Le fichier devra contenir

Code: Tout sélectionner

Port 22


Modifier le 22 par le port désirer.

A+

[MasterSleepy]

Oupps,

J'oubliais le plus important.

Pour terminer

Code: Tout sélectionner

/sbin/e-smith/expand-template /etc/ssh/sshd_config
service sshd restart


A+

[Muzo]

Modifier le 22 par le port désirer.

Je me poses une question, ne faut il pas aussi modifier le port qui permet d'y accèder sur Iptable?

[hypnos]

Je me poses une question, ne faut il pas aussi modifier le port qui permet d'y accèder sur Iptable?

Oui , il faut bien sur modifier la règle iptables en remplaçant le port 22 par le port choisit.

Ce que tu peux faire en plus , c'est d'indiquer deux ports d'écoute dans ton ssh_configd.
par exemple:
Port 222
Port 22

Tu "fermes" le port 22 et tu "ouvres" le port 222 pour les connexions venant du net.
mais tu laisses le port 22 "ouvert" pour les connexions venant de ton reseau local.
C'est quand meme plus pratique si tu administres ton serveur depuis ton LAN de ne pas a avoir à indiquer le port à chaque fois

[MasterSleepy]

Modifier le 22 par le port désirer.

Je me poses une question, ne faut il pas aussi modifier le port qui permet d'y accèder sur Iptable?

Salut Muzo,

Bien vu, il y a encore qq manip à faire.

Code: Tout sélectionner

mkdir -p /etc/e-smith/templates-custom/etc/rc.d/init.d/masq

cp /etc/e-smith/templates/etc/rc.d/init.d/masq/45AllowSSH /etc/e-smith/templates-custom/etc/rc.d/init.d/masq/


Editer le fichier /etc/e-smith/templates-custom/etc/rc.d/init.d/masq/45AllowSSH qui ressemble à

Code: Tout sélectionner

{
    my $status = $sshd{status} || "disabled";
    my $access = $sshd{access} || "private";

    $OUT = allow_tcp_in(22,
            ($status eq 'enabled') && ($access eq 'public'));
}


Et modifier le 22 par le même port que dans l'étape précédente.

Et puis le classique

Code: Tout sélectionner

/sbin/e-smith/expand-template /etc/rc.d/init.d/masq
service masq restart


A+