j'ai un serveur web que j'administre à distance via ssh (machine debian Sarge).
Tout ce qu'il y a de plus classique. J'ai vu dans mes logs auth.log des entrées
qui me paraissent suspectes. Il doit s'agir de tentatives d'attaques ssh.
Voilà ce que disent les logs :
Illegal user test from 219.136.9.84
Dec 4 23:53:46 myserver sshd[22991]: error: Could not get shadow information
for NOUSER
Dec 4 23:53:46 myserver sshd[22991]: Failed password for illegal user test from
219.136.9.84 port 56232 ssh2
Dec 4 23:53:49 myserver sshd[22993]: Illegal user guest from 219.136.9.84
Dec 4 23:53:49 myserver sshd[22993]: error: Could not get shadow information
for NOUSER
Qu'est-ce que cela signifie exactement?
Comment sécuriser ssh pour éviter ces attaques?
Comment savoir si l'attaque a abouti?
Merci
Stéphane
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Moi j'utilise les règles iptables suivantes qui autorisent 1 connexion par minute (ou moins si on veut) et par ip sur le port ssh. Ca permet de calmer les tentatives avec différents users en rafale sans géner l'utilisation normale :
Sans gêner, c'est vite dit. Ce genre de limitation permet de réaliser de beaux dénis de service par usurpation de l'adresse IP source.
C'est vrai mais c'est également le cas de fail2ban (qui a le même défaut) et de toutes les solutions sur IP source.
Je ne suis pas d'accord. C'est beaucoup moins trivial de provoquer un déni de service sur une adresse IP avec fail2ban car il ne suffit pas d'envoyer un unique paquet en usurpant l'adresse IP de la "victime" : fail2ban se base sur les logs applicatifs, donc l'attaquant doit établir une session TCP complète pour que l'adresse usurpée apparaisse dans les logs, ce qui est beaucoup plus difficile.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Paul Filo a écrit :
Le 07/12/2006 23:45 Pascal Hambourg a dit :
Moi j'utilise les règles iptables suivantes qui autorisent 1 connexion
par minute (ou moins si on veut) et par ip sur le port ssh. Ca permet de
calmer les tentatives avec différents users en rafale sans géner
l'utilisation normale :
Sans gêner, c'est vite dit. Ce genre de limitation permet de réaliser de
beaux dénis de service par usurpation de l'adresse IP source.
C'est vrai mais c'est également le cas de fail2ban (qui a le même
défaut) et de toutes les solutions sur IP source.
Je ne suis pas d'accord. C'est beaucoup moins trivial de provoquer un
déni de service sur une adresse IP avec fail2ban car il ne suffit pas
d'envoyer un unique paquet en usurpant l'adresse IP de la "victime" :
fail2ban se base sur les logs applicatifs, donc l'attaquant doit établir
une session TCP complète pour que l'adresse usurpée apparaisse dans les
logs, ce qui est beaucoup plus difficile.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Moi j'utilise les règles iptables suivantes qui autorisent 1 connexion par minute (ou moins si on veut) et par ip sur le port ssh. Ca permet de calmer les tentatives avec différents users en rafale sans géner l'utilisation normale :
Sans gêner, c'est vite dit. Ce genre de limitation permet de réaliser de beaux dénis de service par usurpation de l'adresse IP source.
C'est vrai mais c'est également le cas de fail2ban (qui a le même défaut) et de toutes les solutions sur IP source.
Je ne suis pas d'accord. C'est beaucoup moins trivial de provoquer un déni de service sur une adresse IP avec fail2ban car il ne suffit pas d'envoyer un unique paquet en usurpant l'adresse IP de la "victime" : fail2ban se base sur les logs applicatifs, donc l'attaquant doit établir une session TCP complète pour que l'adresse usurpée apparaisse dans les logs, ce qui est beaucoup plus difficile.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
