tentatives de piratage par ssh !!!

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

tentatives de piratage par ssh !!!

Messagepar vince83 » 08 Déc 2004 00:27

bonsoir je m'apperçois depuis 2 semaines que parfois dans mes logs j'ai des tentatives d'intrusions par ssh dans mon serveur.
j'ai remarqué de base que lorsque je teste 4 mots de passes erronées le ssh se bloque et il faut alors relancer la commande.
n'y aurais t'il pas moyen de faire bloquer le ssh apres 2 ou 4 essais mais qu'il se bloque pendant un certain temps (10 minutes par exemple afin de decourager certains ...).

En ce qui concerne les intrusions on m'a dis que je pouvais envoyer un extrais de mes logs a mon provider qui lui pourrait retrouver avec l'ip et la date les coordonnées du pirate et lui envoyer un mail d'avertissement ; cette technique peut elle fonctionner ???.

sinon je pensais moi faire un shell recuperant les ip dans mes fichiers log qui apparaissent apres 2 ou 3 erreurs et les mettre dans le fichier host_deny de ssh ; mais ce serais en dernier recours car un peu violant !!!

merci de vos lumieres .
vince83
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 21 Oct 2004 18:39
Localisation: toulon

Messagepar Muzo » 08 Déc 2004 00:37

Salut,

Si tu es sous SME 5.6, j'espère que tu as fait les mises à jours de ssh, il y avait une faille induite dans le code.

Pas contre en 6.0 cela est intégré.

Peux-être est-ce quelqu'un tentant d'utiliser cette vieille faille.
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar hypnos » 08 Déc 2004 01:23

J'avais le meme probleme que toi , mais sous debian.
J'ai changé le port d'ecoute et depuis plus de probleme de ce niveau la.
Enfin sinon , si t'es a jour au niveau sécurité ssh et que tu as de bons mots de passe pour tous les comptes, y'a pas à s'inquiéter.
Mais bon continue à regarder tes logs
Avatar de l’utilisateur
hypnos
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 30 Oct 2003 01:00

Messagepar vince83 » 08 Déc 2004 23:32

Pour repondre à Muzo je suis sous sme 6.0-1
donc si j'ai bien compris avec un bon mot de passe ça devrais etre suffisament securisé ...

sinon tu dis que tu as changé le port d'ecoute tu as fait ça dans ssh_config ??

merci
vince83
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 21 Oct 2004 18:39
Localisation: toulon

Messagepar KiBi » 13 Déc 2004 09:51

Bonjour,

en général la configuration du client SSH se fait dans ssh_config, et la configuration du serveur se fait dans sshd_config (d pour ... :)). Le début dudit fichier :

--- /etc/ssh/sshd_config
# Package generated configuration file
# See the sshd(8) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# [... tout plein d'autres choses ... ]
---

Il te suffit alors de mettre un autre port et le tour est joué. Je ne connais pas SME, mais j'imagine que cela fonctionne de la même manière que pour openssh.

Hope que help
KiBi
Matelot
Matelot
 
Messages: 1
Inscrit le: 13 Déc 2004 09:47

Messagepar MasterSleepy » 13 Déc 2004 10:28

Salut,

Voici la méthode pour modifier le port du daemon ssh sur une SME 5.6 et 6.0.

Créatin du répertoire de template
Code: Tout sélectionner
mkdir -p /etc/e-smith/templates-custom/etc/ssh/sshd_config/


Création du template de fichier
Code: Tout sélectionner
pico /etc/e-smith/templates-custom/etc/ssh/sshd_config/10Port


Le fichier devra contenir
Code: Tout sélectionner
Port 22

Modifier le 22 par le port désirer.

A+
"Microsoft fera quelque chose qui ne plantera jamais quand ils commenceront à fabriquer des clous "
http://www.vanhees.cc
Avatar de l’utilisateur
MasterSleepy
Amiral
Amiral
 
Messages: 2625
Inscrit le: 24 Juil 2002 00:00
Localisation: Belgique

Messagepar MasterSleepy » 13 Déc 2004 10:40

Oupps,

J'oubliais le plus important.

Pour terminer
Code: Tout sélectionner
/sbin/e-smith/expand-template /etc/ssh/sshd_config
service sshd restart


A+
"Microsoft fera quelque chose qui ne plantera jamais quand ils commenceront à fabriquer des clous "
http://www.vanhees.cc
Avatar de l’utilisateur
MasterSleepy
Amiral
Amiral
 
Messages: 2625
Inscrit le: 24 Juil 2002 00:00
Localisation: Belgique

Messagepar Muzo » 13 Déc 2004 23:55

MasterSleepy a écrit:Modifier le 22 par le port désirer.


Je me poses une question, ne faut il pas aussi modifier le port qui permet d'y accèder sur Iptable?
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar hypnos » 14 Déc 2004 00:36

Je me poses une question, ne faut il pas aussi modifier le port qui permet d'y accèder sur Iptable?


Oui , il faut bien sur modifier la règle iptables en remplaçant le port 22 par le port choisit.

Ce que tu peux faire en plus , c'est d'indiquer deux ports d'écoute dans ton ssh_configd.
par exemple:
Port 222
Port 22

Tu "fermes" le port 22 et tu "ouvres" le port 222 pour les connexions venant du net.
mais tu laisses le port 22 "ouvert" pour les connexions venant de ton reseau local.
C'est quand meme plus pratique si tu administres ton serveur depuis ton LAN de ne pas a avoir à indiquer le port à chaque fois
Avatar de l’utilisateur
hypnos
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 30 Oct 2003 01:00

Messagepar MasterSleepy » 14 Déc 2004 06:44

Muzo a écrit:
MasterSleepy a écrit:Modifier le 22 par le port désirer.


Je me poses une question, ne faut il pas aussi modifier le port qui permet d'y accèder sur Iptable?

Salut Muzo,

Bien vu, il y a encore qq manip à faire.

Code: Tout sélectionner
mkdir -p /etc/e-smith/templates-custom/etc/rc.d/init.d/masq

cp /etc/e-smith/templates/etc/rc.d/init.d/masq/45AllowSSH /etc/e-smith/templates-custom/etc/rc.d/init.d/masq/


Editer le fichier /etc/e-smith/templates-custom/etc/rc.d/init.d/masq/45AllowSSH qui ressemble à
Code: Tout sélectionner
{
    my $status = $sshd{status} || "disabled";
    my $access = $sshd{access} || "private";

    $OUT = allow_tcp_in(22,
            ($status eq 'enabled') && ($access eq 'public'));
}

Et modifier le 22 par le même port que dans l'étape précédente.

Et puis le classique
Code: Tout sélectionner
/sbin/e-smith/expand-template /etc/rc.d/init.d/masq
service masq restart


A+
"Microsoft fera quelque chose qui ne plantera jamais quand ils commenceront à fabriquer des clous "
http://www.vanhees.cc
Avatar de l’utilisateur
MasterSleepy
Amiral
Amiral
 
Messages: 2625
Inscrit le: 24 Juil 2002 00:00
Localisation: Belgique


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron