Prob de tentative de connexions sur ssh

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Prob de tentative de connexions sur ssh

Messagepar mouggies » 18 Juil 2005 09:43

Bonjour,

j'ai remarqué que ces derniers temps, on essaie de se connecter à ma passerelle (debian sarge) avec une liste de login.

Cela dure environ une demi-heure voir plus!

Comment faire pour qu'après un certain nombre de connexion endean une minute (par exemple), que la passerelle ignore la connexion ou que le serveur ssh envoir un Rst et termine la connexion.

Je sais juste générer un log avec iptables, mais pas empecher que l'on se connecte.

Merci
Avatar de l’utilisateur
mouggies
Matelot
Matelot
 
Messages: 4
Inscrit le: 13 Juil 2002 00:00

Messagepar Muzo » 18 Juil 2005 12:27

Bonjour,

La connexion ssh se fait depuis le web ou depuis ton lan?

Si c'est depuis le web, as-tu vraiment besoin d'une connexion ssh depuis l'extérieur?
Si oui, as-tu vraiment besoin d'autoriser toutes les adresse ip du monde à se conencter en ssh?
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar braouazou » 18 Juil 2005 13:08

Et si vraiment tu as besoin d'une possibilité de connexion extérieure, j'ai cette adresse dans mes bookmarks : http://www.aczoom.com/cms/blockhosts
Je n'ai pas essayé, mais ça ne me semble pas mal.

Par ailleurs, vérifie que tes mots de passe sont suffisamment 'forts' pour ne pas être cassés trop facilement, et change les régulièrement.

Ce que tu constates dans tes logs sont des tentatives de connexion de scripts, lancés automatiquement et qui tente la connexion sur des comptes courants : évite donc d'utiliser des logins qui pourraient en être la cible (les prénoms américains tels que john par exemple)

@++
echo ?16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D4D465452snlbxq?|dc
Avatar de l’utilisateur
braouazou
Amiral
Amiral
 
Messages: 1290
Inscrit le: 26 Fév 2003 01:00
Localisation: Dans les Vosges, au milieu des sapins!

Messagepar mouggies » 18 Juil 2005 13:13

braouazou a écrit:Et si vraiment tu as besoin d'une possibilité de connexion extérieure, j'ai cette adresse dans mes bookmarks : http://www.aczoom.com/cms/blockhosts
Je n'ai pas essayé, mais ça ne me semble pas mal.

Par ailleurs, vérifie que tes mots de passe sont suffisamment 'forts' pour ne pas être cassés trop facilement, et change les régulièrement.

Ce que tu constates dans tes logs sont des tentatives de connexion de scripts, lancés automatiquement et qui tente la connexion sur des comptes courants : évite donc d'utiliser des logins qui pourraient en être la cible (les prénoms américains tels que john par exemple)

@++


En fait, les tentatives de connexion se font de l'extérieur, probablement par des script qui comme tu dis, essaient (plus ou moins) tous des noms américains.

Je vais aller voir ton lien et verrai si ca peut répondre à mes demandes (bloquer automatiquement une ip qui essaie de se connecter comme un fou à mon service ssh)
Avatar de l’utilisateur
mouggies
Matelot
Matelot
 
Messages: 4
Inscrit le: 13 Juil 2002 00:00

Messagepar Pico10 » 18 Juil 2005 14:27

mouggies a écrit:(bloquer automatiquement une ip qui essaie de se connecter comme un fou à mon service ssh)


Il me semble que c'est faisable avec iptables mais je suis pas certain, avec le mot clé limit... Je me trompe peut être... :roll:
Un programme ne fait jamais ce qu'on veut mais ce qu'on lui demande de faire
Image
Avatar de l’utilisateur
Pico10
Major
Major
 
Messages: 85
Inscrit le: 11 Avr 2005 10:19

Messagepar micjack » 18 Juil 2005 17:27

Dans la conf de sshd tu peux limiter le temp octroyé à saisir un mot de passe.. Plus tu le met court, mieux ce sera..

Seul root (ou autre users autorisés) saura le taper rapidement pour passer..

Tout, comme il est possible aussi d'interdire le login de Root... Pour se connecter, il sufit de créer un user, se connecter avec, faire su et se loguer en Root par la suite..

Aussi changer le port par defaut.

Edit: J'ai pas pensé aux script, faut juste savoir comment ils fonctionnent (si il y'a une durée )
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar mouggies » 18 Juil 2005 18:25

micjack a écrit:Dans la conf de sshd tu peux limiter le temp octroyé à saisir un mot de passe.. Plus tu le met court, mieux ce sera..

Seul root (ou autre users autorisés) saura le taper rapidement pour passer..

Tout, comme il est possible aussi d'interdire le login de Root... Pour se connecter, il sufit de créer un user, se connecter avec, faire su et se loguer en Root par la suite..

Aussi changer le port par defaut.

Edit: J'ai pas pensé aux script, faut juste savoir comment ils fonctionnent (si il y'a une durée )


Le problème n'étant pas le temps alloué à l'utilisateur pour qu'il saisisse un mot de passe, mais bien qu'un ordinateur essaie pendant un certain temps plein de login (souvent d'origine américaine) pour se connecter à ma passerelle via ssh.

Pour ca, j'aimerai bien bloquer (via iptables ou qqchose du style) l'ip après X tentatives.

De retour du boulot, je vais pouvoir tester le lien de braouazou.
Avatar de l’utilisateur
mouggies
Matelot
Matelot
 
Messages: 4
Inscrit le: 13 Juil 2002 00:00

Messagepar micjack » 18 Juil 2005 19:51

Et le changement de port (c'est ce que j'ai fait ) :wink:

Si non, il est faisable avec iptables de rejeter une adresse IP ou plage (fait un WHOIS sur cette IP et bloque la plage)
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)