Bloquer les tentatives connexion ssh

------=_Part_7265_4221648.1222865660561
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

merci beaucoup steeve,
Je cherchais fail2ban

2008/10/1 steve <dlist@bluewin.ch>

Le 2008-10-01, à 13:45:50 +0100, Johan Dindaine (jojolapin972@gmail.com ) a
écrit :

> Bonjour la liste,

salut

> assez regulierement j'ai des tentatives de connexion par SSH venant ds
mes
> logs du genre:
> Did not receive identification string from 210.102.192.90
> ou encore
> Did not receive identification string from UNKNOWN.
> J'en ai tellement qu'a certain moment le flood ralenti ce serveur. J e
me
> rappelle avoir deja vu sur la liste un programme permetant de banir
une IP
> apres un certain nombres d'essaie mais je n'ai pu retrouver le nom.
> Pouvez vous me rappeler quel etait celui ci?

fail2ban, sshblack


> Merci beaucoup ;)

pas de quoi.

Bonne fin de journée,
Steve

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org

------=_Part_7265_4221648.1222865660561
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<div dir="ltr">merci beaucoup steeve,<br>Je cherchais fail2ban<br><br><di v class="gmail_quote">2008/10/1 steve <span dir="ltr">&lt;dlist@bluewin .ch&gt;</span><br><blockquote class="gmail_quote" style="border-left: 1 px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;" >
Le 2008-10-01, à 13:45:50 +0100, Johan Dindaine (<a href="mailto:jojola pin972@gmail.com">jojolapin972@gmail.com</a>) a écrit :<br>
<br>
&gt; &nbsp; &nbsp;Bonjour la liste,<br>
<br>
salut<br>
<div><div></div><div class="Wj3C7c"><br>
&gt; &nbsp; &nbsp;assez regulierement j&#39;ai des tentatives de connexion par SSH venant ds mes<br>
&gt; &nbsp; &nbsp;logs du genre:<br>
&gt; &nbsp; &nbsp;Did not receive identification string from <a href="htt p://210.102.192.90" target="_blank">210.102.192.90</a><br>
&gt; &nbsp; &nbsp;ou encore<br>
&gt; &nbsp; &nbsp;Did not receive identification string from UNKNOWN.<br>
&gt; &nbsp; &nbsp;J&#39;en ai tellement qu&#39;a certain moment le flood ra lenti ce serveur. Je me<br>
&gt; &nbsp; &nbsp;rappelle avoir deja vu sur la liste un programme permetan t de banir une IP<br>
&gt; &nbsp; &nbsp;apres un certain nombres d&#39;essaie mais je n&#39;ai pu retrouver le nom.<br>
&gt; &nbsp; &nbsp;Pouvez vous me rappeler quel etait celui ci?<br>
<br>
</div></div>fail2ban, sshblack<br>
<br>
<br>
&gt; &nbsp; &nbsp;Merci beaucoup ;)<br>
<br>
pas de quoi.<br>
<br>
Bonne fin de journée,<br>
Steve<br>
<font color="#888888"><br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/DebFrFrenchLists" target="_blank">http: //wiki.debian.org/DebFrFrenchLists</a><br>
Vous pouvez aussi ajouter le mot ``spam&#39;&#39; dans vos champs &quot;Fro m&quot; et<br>
&quot;Reply-To:&quot;<br>
<br>
To UNSUBSCRIBE, email to <a href="mailto:debian-user-french-REQUEST@lists .debian.org">debian-user-french-REQUEST@lists.debian.org</a><br>
with a subject of &quot;unsubscribe&quot;. Trouble? Contact <a href="mail to:listmaster@lists.debian.org">listmaster@lists.debian.org</a><br>
<br>
</font></blockquote></div><br></div>

------=_Part_7265_4221648.1222865660561--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le 2008-10-01, à 13:45:50 +0100, Johan Dindaine (jojolapin972@gmail.com) a écrit :

Bonjour la liste,

salut

assez regulierement j'ai des tentatives de connexion par SSH venant ds mes
logs du genre:
Did not receive identification string from 210.102.192.90
ou encore
Did not receive identification string from UNKNOWN.
J'en ai tellement qu'a certain moment le flood ralenti ce serveur. Je me
rappelle avoir deja vu sur la liste un programme permetant de banir une IP
apres un certain nombres d'essaie mais je n'ai pu retrouver le nom.
Pouvez vous me rappeler quel etait celui ci?

fail2ban, sshblack

Merci beaucoup ;)

pas de quoi.

Bonne fin de journée,
Steve

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

------=_Part_88214_19593739.1222866371927
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

> Pouvez vous me rappeler quel était celui ci?

fail2ban, sshblack

Pour info, il y a Snort aussi qui te permet de détecter d'autres tentativ es
d'intrusion (IDS). C'est beaucoup plus lourd a mettre en place et mal rég lé
ça peut prendre beaucoup de ressource mais c'est quand même très puis sant.

--
Breizh da viken : www.pointbzh.com

------=_Part_88214_19593739.1222866371927
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<div dir="ltr"><br><div class="gmail_quote"><blockquote class="gmail_ quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div dir="ltr"><div class="gmail_quote"> <div><div class="Wj3C7c">
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div><div>
&gt; &nbsp; &nbsp;Pouvez vous me rappeler quel était celui ci?<br>
<br>
</div></div>fail2ban, sshblack<br>
</blockquote></div></div></div></div></blockquote><div><br>&nbsp;</div><div >Pour info, il y a Snort aussi qui te permet de détecter d&#39;autres ten tatives
d&#39;intrusion (IDS). C&#39;est beaucoup plus lourd a mettre en place et m al
réglé ça peut prendre beaucoup de ressource mais c&#39;est quand mê me très puissant.<br></div></div><br>-- <br>Breizh da viken : <a href=" http://www.pointbzh.com">www.pointbzh.com</a><br>
</div>

------=_Part_88214_19593739.1222866371927--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le 2008-10-01, à 15:06:11 +0200, Kevin Hinault (hinault@gmail.com) a écrit :

> Pouvez vous me rappeler quel etait celui ci?

fail2ban, sshblack


Pour info, il y a Snort aussi qui te permet de detecter d'autres
tentatives d'intrusion (IDS). C'est beaucoup plus lourd a mettre en place
et mal regle c,a peut prendre beaucoup de ressource mais c'est quand meme
tres puissant.

Wai mais juste pour bloquer quelques tentatives ça paraît un poil lourd
(c'est un euphémisme).

Sinon, pour réduire le nombre de tentatives, on peut aussi faire écouter
ssh sur un autre port que le 22. J'entends déjà des cris dans la salle
"quoi la sécurité par l'obscurité, c'est n'importe quoi". Mais ici il ne
s'agit pas vraiment de sécurité mais juste de réduire les nuisances dues
à ces essais sur un port classique. Mais fail2ban fait très bien son
travail.

Kenavo

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

* Johan Dindaine <jojolapin972@gmail.com> [2008-10-01 13:45:50 +0100] wrote :

Bonjour la liste,

Salut,

assez regulierement j'ai des tentatives de connexion par SSH venant ds mes
logs du genre:
Did not receive identification string from 210.102.192.90
ou encore
Did not receive identification string from UNKNOWN.
J'en ai tellement qu'a certain moment le flood ralenti ce serveur. Je me
rappelle avoir deja vu sur la liste un programme permetant de banir une IP
apres un certain nombres d'essaie mais je n'ai pu retrouver le nom.
Pouvez vous me rappeler quel etait celui ci?

fail2ban ?

Merci beaucoup ;)

--
. ''`. (___/) E d i S T O J I C E V I C
: :' : (='.'=) http://www.debianworld.org
`. `~' (")_(") GPG: 0x1237B032
`-

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

>> Bonjour la liste,

yop,

Sans rien installer, tu pourrais déjà déjà passer ton ssh sur un autre
port que 22.

a+

f.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Johan Dindaine wrote:

Bonjour la liste,
assez regulierement j'ai des tentatives de connexion par SSH venant ds mes
logs du genre:
Did not receive identification string from 210.102.192.90
ou encore
Did not receive identification string from UNKNOWN.
J'en ai tellement qu'a certain moment le flood ralenti ce serveur. Je me
rappelle avoir deja vu sur la liste un programme permetant de banir une IP
apres un certain nombres d'essaie mais je n'ai pu retrouver le nom.
Pouvez vous me rappeler quel etait celui ci?

fail2ban, denyhosts, .... etc

mais bon, c'est de l'artillerie lourde en quelque sorte. il faut être
conscient que ça consiste à faire tourner un programme privélgié (il
faut qu'il puisse reconfigurer le firewall) qui réagit à des expressions
régulières. A un moment, il y avait une attaque contre fail2ban qui
consistait à faire une tentative de l'utilisateur "toto from 1.2.3.4"
afin de causer des problèmes pour 1.2.3.4. ça a été corrigé depuis, mais
le mal est fait (ça veut dire que le développeur n'avait pas prévu le
coup, et que donc il est tout à fait raisonnable de penser qu'il n'y ait
pas prévu d'autres coups).

si tu te sens "droit dans tes bottes", alors ignore les attaques en te
disant "c'est sécurisé ici, on s'en moque des tentatives". Après tout,
il n'y a pas de raison de trembler toute sa vie durant.

sinon, change de port. d'après mon experience, ça réduit le bruit à 0,
ce qui est très agréable. ça ne veut pas dire qu'il faut compter dessus
pour la sécurité. mais on a autre chose à faire que de s'occuper des
"script kiddies". et ça oblige l'attaquant à trouver le port, ce qui ne
peut être fait de façon passive, et donc, il est possible de detecter
qu'il y a une tentative, auquel cas on peut se mettre en mode "faché".

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le Mer 1 octobre 2008 14:45, Johan Dindaine a écrit :

J'en ai tellement qu'a certain moment le flood ralenti ce serveur. Je me
rappelle avoir deja vu sur la liste un programme permetant de banir une IP
apres un certain nombres d'essaie mais je n'ai pu retrouver le nom.
Pouvez vous me rappeler quel etait celui ci?

Je suis surpris que personne n'ai proposé une autre solution bien plus
rapide et légère : le module "recent" de iptables qui va limiter la
fréquence des tentatives. Tu peux lui dire par exemple :
pas plus de trois tentatives en 60 secondes, sinon on bloque l'IP pendant
60 secondes et on note ca, mais pas plus de 10 fois par minutes

C'est direct dans le noyau, sans rien de plus qu'une simple règle. Tu
verra les alertes passer, mais beaucoup moins souvent, elles ne chargeront
pas tes logs et les trames TCP seront éliminées au plus bas niveau (donc
moins de charge).

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
--name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent
--update --seconds 60 --hitcount 3 --rttl --name SSH -m limit --limit 10/m
-j LOG
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent
--update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP
# Accepter les connexions SSH
iptables -A INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT


Fanfan
--
http://www.cerbelle.net - http://www.afdm-idf.org

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le Wed, 1 Oct 2008 15:21:17 +0200
steve <dlist@bluewin.ch> a écrit:

Mais ici il ne
s'agit pas vraiment de sécurité mais juste de réduire les nuisances dues
à ces essais sur un port classique. Mais fail2ban fait très bien son
travail.

À une remarque près, j'utilise ipt_recent et un script faisant à peu près la
même chose mais je fais face à des tentatives venant de 2000 machines
différentes coordonnées entre elles:
..
Failed keyboard-interactive/pam for invalid user tmp from 200.127.112.176 port 45431 ssh2
Failed keyboard-interactive/pam for invalid user tmp from 217.98.80.5 port 48372 ssh2
Failed keyboard-interactive/pam for invalid user tmp from 196.211.228.226 port 42894 ssh2
Failed keyboard-interactive/pam for invalid user tmp from 62.38.242.231 port 62736 ssh2
Failed keyboard-interactive/pam for invalid user tmp from 98.162.246.23 port 39423 ssh2
Failed keyboard-interactive/pam for invalid user tmp from 218.201.201.6 port 45558 ssh2
Failed keyboard-interactive/pam for invalid user tmp from 83.103.70.170 port 14321 ssh2
Failed keyboard-interactive/pam for invalid user tmp from 82.107.18.143 port 49964 ssh2
Failed keyboard-interactive/pam for invalid user temp from 165.228.206.192 port 46860 ssh2
Failed keyboard-interactive/pam for invalid user temp from 201.147.111.94 port 60470 ssh2
Failed keyboard-interactive/pam for invalid user temp from 203.80.236.60 port 50267 ssh2
Failed keyboard-interactive/pam for invalid user temp from 80.118.132.88 port 2028 ssh2
Failed keyboard-interactive/pam for invalid user temp from 89.216.242.73 port 20141 ssh2
Failed keyboard-interactive/pam for invalid user temporary from 194.228.118.57 port 10382 ssh2
Failed keyboard-interactive/pam for invalid user temporary from 92.236.53.54 port 62598 ssh2
Failed keyboard-interactive/pam for invalid user temporary from 60.49.250.58 port 1171 ssh2
Failed keyboard-interactive/pam for invalid user temporary from 121.139.193.67 port 1697 ssh2
Failed keyboard-interactive/pam for invalid user temporary from 216.197.204.76 port 38963 ssh2
Failed keyboard-interactive/pam for invalid user christelle from 70.154.244.35 port 22916 ssh2
Failed keyboard-interactive/pam for invalid user christelle from 81.137.224.38 port 11630 ssh2
Failed keyboard-interactive/pam for invalid user christelle from 217.98.80.5 port 32738 ssh2
Failed keyboard-interactive/pam for invalid user christelle from 217.126.90.161 port 52937 ssh2
Failed keyboard-interactive/pam for invalid user christelle from 200.170.141.134 port 52109 ssh2
Failed keyboard-interactive/pam for invalid user christelle from 213.41.149.160 port 34584 ssh2
Failed keyboard-interactive/pam for invalid user christelle from 92.104.254.121 port 52387 ssh2
Failed keyboard-interactive/pam for invalid user christiane from 190.8.149.130 port 43134 ssh2
Failed keyboard-interactive/pam for invalid user christiane from 201.230.98.131 port 18328 ssh2
Failed keyboard-interactive/pam for invalid user christiane from 212.147.16.232 port 53706 ssh2
Failed keyboard-interactive/pam for invalid user christiane from 213.98.2.49 port 56032 ssh2
Failed keyboard-interactive/pam for invalid user christiane from 196.211.228.226 port 52944 ssh2
Failed keyboard-interactive/pam for invalid user christiane from 200.183.40.66 port 52170 ssh2
Failed keyboard-interactive/pam for invalid user christine from 83.12.137.44 port 42141 ssh2
Failed keyboard-interactive/pam for invalid user christine from 201.155.69.6 port 3497 ssh2
Failed keyboard-interactive/pam for invalid user christine from 145.253.179.228 port 60859 ssh2
...

je ne sais pas comment contourner ça mis à part l'écoute sur un autre port...

François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

This is an OpenPGP/MIME signed message (RFC 2440 and 3156)
--------------enig44A3A2685E81BB219D24A54D
Content-Type: text/plain; charset=ISO-8859-15
Content-Transfer-Encoding: quoted-printable

Salut,

François Boisson wrote:

Le Wed, 1 Oct 2008 15:21:17 +0200
steve <dlist@bluewin.ch> a écrit:

Mais ici il ne
s'agit pas vraiment de sécurité mais juste de réduire les nuisan ces dues
à ces essais sur un port classique. Mais fail2ban fait très bien s on
travail.

À une remarque près, j'utilise ipt_recent et un script faisant à peu près la
même chose mais je fais face à des tentatives venant de 2000 machin es
différentes coordonnées entre elles:

[...]

je ne sais pas comment contourner ça mis à part l'écoute sur un a utre port...

Utilises fwknop.

C'est en anglais: http://www.cipherdyne.org/fwknop/

Pour faire simple:

En considérant que ton firewall bloque le port 22, le démon fwknop es t à
l'écoute pour des demandes d'accès au serveur SSH. Un client est
disponible pour permettre l'envoie de paquets cryptés vers le serveur.
Une fois que le client est identifé il te donne accès à ton serveur SSH
(nouvelles connexions) pendant un timeout, avant de le verrouiller à
nouveau.

On peut l'appliquer pour tous ports et même l'appliquer pour du forward
de connexion, gérer les blacklists, exécuter des commandes à distan ce...

Si cela te tente je te fournirais un lien pour une installation facile
et rapide.

--
Franck Joncourt
http://debian.org - http://smhteam.info/wiki/
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE


--------------enig44A3A2685E81BB219D24A54D
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAkjjvScACgkQxJBTTnXAif6qFACfVgNDp3Z/uFtzOgqUI51+Tjiq
1I4AmwTUW6//TwhMI64yWFulk8GMWOwg
=RloP
-----END PGP SIGNATURE-----

--------------enig44A3A2685E81BB219D24A54D--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org