interdire accès SSH

xavier.limodin

11/05/2012 à 01:20

Le Friday 11 May 2012 à 00:03:03 (+0200), a écrit :

Bonsoir,

Je désire interdire l'accès distant SSH à certains IP.

J'ai utilisé :

"hosts.allow" :
sshd: ALL

"hosts.deny" :
sshd: <IP>

"sshd_config" :
AllowUsers *
DenyUsers <IP>

Mais rien n'y fait, soit aucun accès à tout le monde
ou accès à tout le monde.

Merci d'une aide.

andré

Bonsoir,

essaye avec

/etc/hosts.allow contenant:
sshd: <IP>
/etc/hosts.deny contenant:
sshd: ALL

/etc/hosts.allow est parcouru en premier, de la première a la dernière
règle.Si l'ip matche une règle, ça passe sinon la dernière règle dans hosts.deny est appliquée

--
All mail clients suck. This one just sucks less.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

szczygiel benoit

11/05/2012 à 08:10

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Le 11/05/2012 00:53, a écrit :

Le Friday 11 May 2012 à 00:03:03 (+0200), a écrit :
Bonsoir,

Je désire interdire l'accès distant SSH à certains IP.

J'ai utilisé :

"hosts.allow" :
sshd: ALL

"hosts.deny" :
sshd: <IP>

"sshd_config" :
AllowUsers *
DenyUsers <IP>

Mais rien n'y fait, soit aucun accès à tout le monde
ou accès à tout le monde.

Merci d'une aide.

andré

Bonsoir,

essaye avec

/etc/hosts.allow contenant:
sshd: <IP>
/etc/hosts.deny contenant:
sshd: ALL

/etc/hosts.allow est parcouru en premier, de la première a la dernière
règle.Si l'ip matche une règle, ça passe sinon la dernière règle dans hosts.deny est appliquée

--
All mail clients suck. This one just sucks less.

Sinon, tu peux utiliser mysecureshell qui permet de définir assez
finement les utilisations de ssh.
Benoit
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJPrKrxAAoJEDd5vycqAnvD+pgH+wfYE5S51dKTBBLL3KebJfvE
xM0L6UXNR93tQNXSbQFph4MglDoQrgPOmWzk/SbNb5A2yqLI1a2VeBqXxOo69AbD
ASEiDhm1fDZGyjWhxFFZk5TyC77lPQZr2mDu1Q/r+ovS+QG4wFrI4O2FJ/jb8gM6
QJbR1zAK/cbMIgJ6yblQAY6CPvue5ygIF8bMF4B8bheFShsVWf6Ck251B6XUfor4
aVeg0HsiISSPOoOPYCzUDpH9X2S8iV8V6gj4GWXp8V6osfVwMjA7z3UAj5RnMkYQ
3j4+hEHbmmHHJxp/UpUAShdBkwjwZHsub0pImbjQDHfxLNvKqKxcFt5S7xuKAmk =FLFQ
-----END PGP SIGNATURE-----

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

andre_debian

11/05/2012 à 11:20

On Friday 11 May 2012 00:53:59 wrote:

Le Friday 11 May 2012 à 00:03:03 (+0200),
> Je désire interdire l'accès distant SSH à certains IP.

essaye avec
/etc/hosts.allow contenant:
sshd: <IP>
/etc/hosts.deny contenant:
sshd: ALL
/etc/hosts.allow est parcouru en premier, de la première a la dernière
règle.Si l'ip matche une règle, ça passe sinon la dernière règl e dans
hosts.deny est appliquée

Sinon, tu peux utiliser mysecureshell qui permet de définir assez
finement les utilisations de ssh.
Benoit

Merci pour ces tuyaux. (mysecureshell, c'est plus pour le sftp ...)

auth.log :
Je reçois ce type de connexion toutes les minutes depuis plusieurs jours :

"sshd[15674]: Failed password for invalid user paige from 211.20.112.146
port 42897 ssh2"

avec à chaque fois un user différent "paige" , "victoria" ...
et un port différent "42897" , "44219" ...
L'IP (toujours le même) "211.20.112.146" ne semble pas répertorié :
TWNIC (taïwan).

Le but est d'empêcher ces connexions intempestives à la racine,
par ce numéro IP.

Merci d'un conseil ...

Bonne journée.

andré

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

Cyril M.

11/05/2012 à 11:30

Le 11/05/2012 11:18, a écrit :

On Friday 11 May 2012 00:53:59
wrote:
Le Friday 11 May 2012 à 00:03:03 (+0200),

> Je désire interdire l'accès distant SSH à certains IP.

essaye avec
/etc/hosts.allow contenant:
sshd: <IP>
/etc/hosts.deny contenant:
sshd: ALL
/etc/hosts.allow est parcouru en premier, de la première a la
dernière
règle.Si l'ip matche une règle, ça passe sinon la dernière règle
dans
hosts.deny est appliquée

Sinon, tu peux utiliser mysecureshell qui permet de définir assez
finement les utilisations de ssh.
Benoit

Merci pour ces tuyaux. (mysecureshell, c'est plus pour le sftp ...)

auth.log :
Je reçois ce type de connexion toutes les minutes depuis plusieurs
jours :

"sshd[15674]: Failed password for invalid user paige from
211.20.112.146
port 42897 ssh2"

avec à chaque fois un user différent "paige" , "victoria" ...
et un port différent "42897" , "44219" ...
L'IP (toujours le même) "211.20.112.146" ne semble pas répertorié :
TWNIC (taïwan).

Le but est d'empêcher ces connexions intempestives à la racine,
par ce numéro IP.

Merci d'un conseil ...

Bonne journée.

andré

Bonjour,

s'il s'agit uniquement de bannir des IP de machines tentant de se
connecter à SSH en toute illégalité, le programme denyhosts pourrait
faire l'affaire, il alimentera automatiquement /etc/hosts.

--
Bonne journée

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

admini

11/05/2012 à 11:30

salut

apt-get install fail2ban

On Fri, 11 May 2012 11:18:38 +0200, wrote:

On Friday 11 May 2012 00:53:59 wrote:
Le Friday 11 May 2012 à 00:03:03 (+0200),
> Je désire interdire l'accès distant SSH à certains IP.

essaye avec
/etc/hosts.allow contenant:
sshd: <IP>
/etc/hosts.deny contenant:
sshd: ALL
/etc/hosts.allow est parcouru en premier, de la première a la dernière
règle.Si l'ip matche une règle, ça passe sinon la dernière règle dans
hosts.deny est appliquée

Sinon, tu peux utiliser mysecureshell qui permet de définir assez
finement les utilisations de ssh.
Benoit

Merci pour ces tuyaux. (mysecureshell, c'est plus pour le sftp ...)

auth.log :
Je reçois ce type de connexion toutes les minutes depuis plusieurs jours :

"sshd[15674]: Failed password for invalid user paige from 211.20.112.146
port 42897 ssh2"

avec à chaque fois un user différent "paige" , "victoria" ...
et un port différent "42897" , "44219" ...
L'IP (toujours le même) "211.20.112.146" ne semble pas répertorié :
TWNIC (taïwan).

Le but est d'empêcher ces connexions intempestives à la racine,
par ce numéro IP.

Merci d'un conseil ...

Bonne journée.

andré

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

admini

11/05/2012 à 11:50

On Fri, 11 May 2012 11:28:34 +0200, "Cyril M."
wrote:

Le 11/05/2012 11:18, a écrit :
On Friday 11 May 2012 00:53:59 > wrote:
Le Friday 11 May 2012 à 00:03:03 (+0200), >>
> Je désire interdire l'accès distant SSH à certains IP.

essaye avec
/etc/hosts.allow contenant:
sshd: <IP>
/etc/hosts.deny contenant:
sshd: ALL
/etc/hosts.allow est parcouru en premier, de la première a la >> dernière
règle.Si l'ip matche une règle, ça passe sinon la dernière règle >> dans
hosts.deny est appliquée

Sinon, tu peux utiliser mysecureshell qui permet de définir assez
finement les utilisations de ssh.
Benoit

Merci pour ces tuyaux. (mysecureshell, c'est plus pour le sftp ...)

auth.log :
Je reçois ce type de connexion toutes les minutes depuis plusieurs > jours :

"sshd[15674]: Failed password for invalid user paige from > 211.20.112.146
port 42897 ssh2"

avec à chaque fois un user différent "paige" , "victoria" ...
et un port différent "42897" , "44219" ...
L'IP (toujours le même) "211.20.112.146" ne semble pas répertorié :
TWNIC (taïwan).

Le but est d'empêcher ces connexions intempestives à la racine,
par ce numéro IP.

Merci d'un conseil ...

Bonne journée.

andré

Bonjour,

s'il s'agit uniquement de bannir des IP de machines tentant de se
connecter à SSH en toute illégalité, le programme denyhosts pourrait
faire l'affaire, il alimentera automatiquement /etc/hosts.

mais, l'avantage de fai2ban, c'est qu'il ne touche pas à un fichier
plat, mais aux règles de fw. disons que, c'est plus propre. dans ce
genre de cas, tu peux/dois, écrire au contact administratif qui gère le
pool IP, et l'avertir du problème avec les logs. dans 90% des cas, cela
n'aura aucun effet, car l'admin a d'autres chat à fouter.

pour info, il s'agit d'un host linux 2.6.x, avec un serveur ssh sur 22
aussi. c'est probablement un serveur hosted.

--
Bonne journée

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

On Fri, 11 May 2012 11:28:34 +0200, "Cyril M." <mirtouf@mirtouf.net>
wrote:

Le 11/05/2012 11:18, andre_debian@numericable.fr a écrit :

On Friday 11 May 2012 00:53:59 xavier.limodin@xavier-office.net > wrote:

Le Friday 11 May 2012 à 00:03:03 (+0200), >> andre_debian@numericable.fr
> Je désire interdire l'accès distant SSH à certains IP.

essaye avec
/etc/hosts.allow contenant:
sshd: <IP>
/etc/hosts.deny contenant:
sshd: ALL
/etc/hosts.allow est parcouru en premier, de la première a la >> dernière
règle.Si l'ip matche une règle, ça passe sinon la dernière règle >> dans
hosts.deny est appliquée

Sinon, tu peux utiliser mysecureshell qui permet de définir assez
finement les utilisations de ssh.
Benoit

Merci pour ces tuyaux. (mysecureshell, c'est plus pour le sftp ...)

auth.log :
Je reçois ce type de connexion toutes les minutes depuis plusieurs > jours :

"sshd[15674]: Failed password for invalid user paige from > 211.20.112.146
port 42897 ssh2"

avec à chaque fois un user différent "paige" , "victoria" ...
et un port différent "42897" , "44219" ...
L'IP (toujours le même) "211.20.112.146" ne semble pas répertorié :
TWNIC (taïwan).

Le but est d'empêcher ces connexions intempestives à la racine,
par ce numéro IP.

Merci d'un conseil ...

Bonne journée.

andré

Bonjour,

s'il s'agit uniquement de bannir des IP de machines tentant de se
connecter à SSH en toute illégalité, le programme denyhosts pourrait
faire l'affaire, il alimentera automatiquement /etc/hosts.

mais, l'avantage de fai2ban, c'est qu'il ne touche pas à un fichier
plat, mais aux règles de fw. disons que, c'est plus propre. dans ce
genre de cas, tu peux/dois, écrire au contact administratif qui gère le
pool IP, et l'avertir du problème avec les logs. dans 90% des cas, cela
n'aura aucun effet, car l'admin a d'autres chat à fouter.

pour info, il s'agit d'un host linux 2.6.x, avec un serveur ssh sur 22
aussi. c'est probablement un serveur hosted.

--
Bonne journée

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/2db1120e9f02454f763c11c77f066d82@localhost

Vous avez filtré cet utilisateur ! Consultez son message

On Fri, 11 May 2012 11:28:34 +0200, "Cyril M."
wrote:

Le 11/05/2012 11:18, a écrit :
On Friday 11 May 2012 00:53:59 > wrote:
Le Friday 11 May 2012 à 00:03:03 (+0200), >>
> Je désire interdire l'accès distant SSH à certains IP.

essaye avec
/etc/hosts.allow contenant:
sshd: <IP>
/etc/hosts.deny contenant:
sshd: ALL
/etc/hosts.allow est parcouru en premier, de la première a la >> dernière
règle.Si l'ip matche une règle, ça passe sinon la dernière règle >> dans
hosts.deny est appliquée

Sinon, tu peux utiliser mysecureshell qui permet de définir assez
finement les utilisations de ssh.
Benoit

Merci pour ces tuyaux. (mysecureshell, c'est plus pour le sftp ...)

auth.log :
Je reçois ce type de connexion toutes les minutes depuis plusieurs > jours :

"sshd[15674]: Failed password for invalid user paige from > 211.20.112.146
port 42897 ssh2"

avec à chaque fois un user différent "paige" , "victoria" ...
et un port différent "42897" , "44219" ...
L'IP (toujours le même) "211.20.112.146" ne semble pas répertorié :
TWNIC (taïwan).

Le but est d'empêcher ces connexions intempestives à la racine,
par ce numéro IP.

Merci d'un conseil ...

Bonne journée.

andré

Bonjour,

s'il s'agit uniquement de bannir des IP de machines tentant de se
connecter à SSH en toute illégalité, le programme denyhosts pourrait
faire l'affaire, il alimentera automatiquement /etc/hosts.

mais, l'avantage de fai2ban, c'est qu'il ne touche pas à un fichier
plat, mais aux règles de fw. disons que, c'est plus propre. dans ce
genre de cas, tu peux/dois, écrire au contact administratif qui gère le
pool IP, et l'avertir du problème avec les logs. dans 90% des cas, cela
n'aura aucun effet, car l'admin a d'autres chat à fouter.

pour info, il s'agit d'un host linux 2.6.x, avec un serveur ssh sur 22
aussi. c'est probablement un serveur hosted.

--
Bonne journée

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

S

11/05/2012 à 13:50

Bonjour,

Le vendredi 11 mai 2012 à 11:18, a écrit :

Je reçois ce type de connexion toutes les minutes depuis plusieurs jours :

"sshd[15674]: Failed password for invalid user paige from 211.20.112.146
port 42897 ssh2"

avec à chaque fois un user différent "paige" , "victoria" ...
et un port différent "42897" , "44219" ...
L'IP (toujours le même) "211.20.112.146" ne semble pas répertorié :
TWNIC (taïwan).

Le but est d'empêcher ces connexions intempestives à la racine,
par ce numéro IP.

Merci d'un conseil ...

Le simple fait de changer le port d'écoute du serveur SSH (directive « Port »
dans /etc/ssh/sshd_config) te protégera de ce genre d'attaque. Ça n'empêchera
pas en théorie ce genre de tentatives d'intrusions, mais dans la pratique si.

L'inconvénient c'est que les commandes SSH de connexion au serveur sont plus
compliquées (il faut lui indiquer le numéro de port).

Personnellement ça fait pas loin de dix ans que je fonctionne comme ça et je
suis passé d'une centaine de tentatives toutes les vingt minutes à … 0 !

Seb

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

Francois Mescam

11/05/2012 à 14:50

On 11/05/2012 11:22, admini wrote:

salut

apt-get install fail2ban

et utiliser un autre port que le port 22

--
F.Mescam

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/joj1mm$ctp$

Vincent Lefevre

11/05/2012 à 16:30

On 2012-05-11 13:45:53 +0200, Sébastien NOBILI wrote:

Le simple fait de changer le port d'écoute du serveur SSH (directive « Port »
dans /etc/ssh/sshd_config) te protégera de ce genre d'attaque. Ça n'empêchera
pas en théorie ce genre de tentatives d'intrusions, mais dans la pratique si.

Mais il y a des endroits où les ports "non standard" sont filtrés.
J'avais dû ainsi utiliser le port 443 (habituellement https), libre
sur ma machine. Maintenant, les derniers problèmes que j'avais
remarqués, ça devait être en 2004. La politique des sites a peut-être
évolué...

L'inconvénient c'est que les commandes SSH de connexion au serveur sont plus
compliquées (il faut lui indiquer le numéro de port).

Pas vraiment: il suffit de se créer une config ".ssh/config".
D'ailleurs, c'est intéressant de le faire même si on ne change
pas de port. Par exemple:

Host home
HostKeyAlias le_fqdn
Hostname le_fqdn
Port le_port
User l_utilisateur

avec éventuellement d'autres options (StrictHostKeyChecking yes,
ForwardX11 no, etc.). Il suffit alors d'un "ssh home", "scp home:...",
etc.

Personnellement ça fait pas loin de dix ans que je fonctionne comme
ça et je suis passé d'une centaine de tentatives toutes les vingt
minutes à … 0 !

Idem. J'ai aussi fail2ban sur mes machines.

--
Vincent Lefèvre - Web: <http://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

andre_debian

11/05/2012 à 17:20

On Friday 11 May 2012 16:26:34 Vincent Lefevre wrote:

On 2012-05-11 13:45:53 +0200, SÃ©bastien NOBILI wrote:
> Le simple fait de changer le port d'Ã©coute du serveur SSH (directi ve
> Â«Â PortÂ Â» dans /etc/ssh/sshd_config) te protÃ©ge ra de ce genre d'attaque.
> Ã‡a n'empÃªchera pas en thÃ©orie ce genre de tentatives d'i ntrusions, mais
> dans la pratique si.

J'ai changÃ© de numÃ©ro de port,
qui a stoppÃ© les tentatives d'intrusion.

Mais du coup je n'arrive plus Ã me connecter
avec Konqueror en mode SFTP :
sftp://<mon_serveur>

Comment lui dire d'aller lire un autre port que le 22 ?

Merci.

andrÃ©

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

interdire accès SSH

10 réponses

Veuillez sélectionner un problème