Comment checker le service ssh ou le rendre bavard?

Le
Olivier Pavilla
This is an OpenPGP/MIME signed message (RFC 2440 and 3156)
--enig4663FA375A277E9CB6975277
Content-Type: text/plain; charset=ISO-8859-15
Content-Transfer-Encoding: quoted-printable

Bonjour.

J'ai un serveur en Debian squeeze bits avec accés "direct"sur internet=
.
Je reçois régulièrement des messages d'alerte de service down sur l=
e
port 22/ssh.
Je regarde dans les logs. A part des emmerdeurs chinois sur les ports 25
et 80. Y a rien. Comment faire pour rendre checker ce service pour
vérifier qu'il fonctionne ou au moins le rendre super bavard dans les l=
ogs?


--enig4663FA375A277E9CB6975277
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

--BEGIN PGP SIGNATURE--
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOqjMBAAoJEM7XNMjeLGQfaFAH/0pcUCTfFbhFoHpxwsrNbW3S
BMcm3rr/eJV2ZnodT/LngUh9yahF6B8aWF9Ke79cxgQxOV6m5sBjwbIgmh2mG0sg
3etjAt2zjIpkMZ3SAiUSx6J/soGWSJ2lm6Eafytfyk1mqOZclv/ewAeJeB8nw1Lo
NNxTf94/cSa23Bqps4CA2aRME40ts3J+l+KFRLXX7p9K7bHPS3VM+y7U03YZxr+i
M1qOw5bqqyXnDZjHW1Nk5PzzFyhE6N8tayHu3uUytX5PBlwiOZ3ILt3Vaafuzsub
W4cg73DGeD9elBX1jeN53Lcv04l3hNQMXgcb/NkIjf3rD7fydQVWVZ2lNohTPkY=
=u/H6
--END PGP SIGNATURE--

--enig4663FA375A277E9CB6975277--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4EAA32F9.3090007@linux-squad.com
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Nahliel Steinberg
Le #23911951
Bonjour.


Bonjour,

J'ai un serveur en Debian squeeze bits avec accés "direct"sur internet.
Je reçois régulièrement des messages d'alerte de service down sur le
port 22/ssh.



Si j'ai bien compris tu le supervises ?

Si il est en dehors de ton réseau comme je le comprends, j'ai pour habitude de
mettre en écoute mes serveurs sur un autre port que sur celui par défaut.

le 2222 par exemple, ou tu peux en chosir un autre qui peux évidement induire en erreur
les attanquants.

Exemple si ta machine n'utilise pas un service en particulier, mets-lui ce port d'écoute.

verifier avec netstat --pluton s'il n'est pas déjà actif par exemple et donne lui le port
choisi.


Je regarde dans les logs. A part des emmerdeurs chinois sur les ports 25
et 80. Y a rien. Comment faire pour rendre checker ce service pour
vérifier qu'il fonctionne ou au moins le rendre super bavard dans les logs?




Pour les logs, ca doit se paramétrer dans le sshd_config.

Coté supervision, j'utlise un check_service et je double la mise en checkant si le port est bien actif

netstat -ltn du port 22 et je renvoi en fonction le code d'erreur.

Si tu as snmpd qui tourne, tu peux rajouter une sonde qui walk la mib et récupère si le process fonctionne bien.

Voilou.



fin du message de Olivier Pavilla

--
Nahliel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #23913001
On Fri, 28 Oct 2011 09:43:30 +0200
Nahliel Steinberg
Si il est en dehors de ton réseau comme je le comprends, j'ai pour h abitude de
mettre en écoute mes serveurs sur un autre port que sur celui par d éfaut.

le 2222 par exemple, ou tu peux en chosir un autre qui peux évidemen t induire en erreur
les attanquants.



On peut aussi (à partir du moment où les accès se font par m achines Linux)
installer knockd, qui n'ouvrira le bon port qu'après une succession de
pings sur des ports bien spécifiques.
Le Sce reste totalement invisible jusqu'à ouverture, et le redevient d ès
sa fermeture.

--
The difference between this school and a cactus plant is that the
cactus has the pricks on the outside.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Lucas
Le #23914031
--bcaec5540aa47b21fb04b05f0ee5
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable


On peut aussi (à partir du moment où les accès se font par machines Linux)




Il existe également des client knockd pour windows (et en cas extrà ªme on
peut même s'en sortir avec un netcat).


installer knockd, qui n'ouvrira le bon port qu'après une succession de
pings sur des ports bien spécifiques.




Un peu de doc sur le portknocking : http://doc.ubuntu-fr.org/port-knocking

Mais le portknocking t'aidera seulement si la cause de tes coupures viens
d'un bruteforce trop violent. Ca reste quand même exceptionnel (pas le
bruteforce mais un bruteforce qui DoS).
Que donne : grep 'authentication failure' /var/log/auth.log |wc -l ?

Il est également possible que ce soit au niveau de ta sonde qu'il y ai un
problème. D'ailleurs c'est quoi cette sonde ? Elle fait quoi, juste un
handshake ou une connexion ssh ?

Pour augmenter la verbosité des log de sshd :

man sshd_config 5 :
LogLevel
Gives the verbosity level that is used when logging messages
from sshd(8). The possible values are: QUIET, FATAL, ERROR, INFO, VERBOSE,
DEBUG, DEBUG1, DEBUG2, and DEBUG3. The default is INFO. DEBUG and DEBUG1
are equivalent. DEBUG2 and DEBUG3 each specify higher levels of debugging
out‐put. Logging with a DEBUG level violates the privacy of users and is
not recommended.


Si tu veux réduire le bruteforce et donc la charge sur ton serveur ssh tu
peux également regarder du coté de fail2ban (
http://doc.ubuntu-fr.org/fail2ban* )* qui est moins poilue que le
portknocking.


My 2 cents,
L.

PS: Moi je parie sur la sonde !

--bcaec5540aa47b21fb04b05f0ee5
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<br>

  installer knockd, qui n&#39;ouvrira le bon port qu&#39;après une succe ssion de<br>
pings sur des ports bien spécifiques.
Que donne : grep &#39;authentication failure&#39; /var/log/auth.log |wc -l ?



--bcaec5540aa47b21fb04b05f0ee5--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme