Authentification failure

Le
steve
Salut à tous,

Depuis une dizaine de jours, j'observe une augmentation massive de scans
sur ma machine.

sshd:
Authentication Failures:
unknown (115.159.235.17): 100 Time(s)
unknown (153.37.192.4): 99 Time(s)
unknown (183.103.146.208): 99 Time(s)
unknown (190.0.159.69): 99 Time(s)
unknown (106.13.103.204): 98 Time(s)
unknown (109.86.200.141): 98 Time(s)
unknown (94.23.62.187): 98 Time(s)
unknown (45.127.106.51): 96 Time(s)
unknown (103.202.132.175): 95 Time(s)
unknown (217.182.95.16): 95 Time(s)
unknown (47.74.150.153): 95 Time(s)
unknown (220.168.86.37): 87 Time(s)
unknown (122.155.223.31): 73 Time(s)
unknown (190.111.239.48): 70 Time(s)
unknown (188.166.31.205): 56 Time(s)
unknown (47.254.158.221): 48 Time(s)
unknown (51.15.117.94): 47 Time(s)
unknown (142.93.237.233): 34 Time(s)
unknown (223.83.155.77): 16 Time(s)
unknown (41.77.145.34): 13 Time(s)
unknown (118.24.99.163): 12 Time(s)
unknown (46.190.57.82): 9 Time(s)
unknown (89.79.197.61): 9 Time(s)
unknown (115.159.30.108): 8 Time(s)
backup (188.166.31.205): 2 Time(s)
root (104.236.102.16): 2 Time(s)
root (223.17.237.138): 2 Time(s)
unknown (128.199.221.18): 2 Time(s)
backup (103.202.132.175): 1 Time(s)
backup (47.254.158.221): 1 Time(s)
backup (47.74.150.153): 1 Time(s)
daemon (45.127.106.51): 1 Time(s)
backup (188.166.31.205): 2 Time(s)
root (104.236.102.16): 2 Time(s)
root (223.17.237.138): 2 Time(s)
unknown (128.199.221.18): 2 Time(s)
backup (103.202.132.175): 1 Time(s)
backup (47.254.158.221): 1 Time(s)
backup (47.74.150.153): 1 Time(s)
daemon (45.127.106.51): 1 Time(s)
games (103.202.132.175): 1 Time(s)
games (188.166.31.205): 1 Time(s)
games (94.23.62.187): 1 Time(s)
gnats (159.65.144.233): 1 Time(s)
gnats (190.111.239.48): 1 Time(s)
gnats (45.127.106.51): 1 Time(s)
hplip (103.202.132.175): 1 Time(s)
irc (106.13.103.204): 1 Time(s)
irc (217.182.95.16): 1 Time(s)
irc (41.77.145.34): 1 Time(s)
irc (47.74.150.153): 1 Time(s)
list (47.254.158.221): 1 Time(s)
lp (217.182.95.16): 1 Time(s)
mail (103.202.132.175): 1 Time(s)
man (115.159.30.108): 1 Time(s)
man (153.37.192.4): 1 Time(s)
man (47.74.150.153): 1 Time(s)
mysql (109.86.200.141): 1 Time(s)
mysql (153.37.192.4): 1 Time(s)
mysql (190.111.239.48): 1 Time(s)
mysql (202.88.241.107): 1 Time(s)
mysql (45.127.106.51): 1 Time(s)
mysql (51.15.117.94): 1 Time(s)
mysql (81.133.216.92): 1 Time(s)
mysql (94.23.62.187): 1 Time(s)
news (190.0.159.69): 1 Time(s)
news (47.74.150.153): 1 Time(s)
nobody (118.25.221.166): 1 Time(s)
nobody (217.182.95.16): 1 Time(s)
plex (217.182.95.16): 1 Time(s)
proxy (103.202.132.175): 1 Time(s)
proxy (47.74.150.153): 1 Time(s)
root (104.248.211.180): 1 Time(s)
root (105.235.116.254): 1 Time(s)
Invalid Users:
Unknown Account: 1610 Time(s)


Je me demandais si vous observiez la même chose.

Merci

Steve
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean Millet
Le #26518265
Bonjour,
J’observe cela depuis plusieurs années. au départ les bot chinois qui
sont très actifs puis d'autres.
Chez GuppY (CMS) nous avons préconisé l'utilisation de blocage de plages
IP dans le .htaccess à la racine des sites hébergés en mutualisé et nous
utilisons iptables sur nos serveurs
Exemple pour les htaccess à la racine des sites :
<Files *>
  <RequireAll>
    Require all granted
# Cambodia (KH)
Require not ip 114.134.184.0/21
# Chinese (CN) IP addresses follow (split into two lines on 7/6/17 to
avoid possible Server 500 due to excess line length):
Require not ip 1.24.0.0/13 1.48.0.0/15 1.50.0.0/16 1.56.0.0/13
1.68.0.0/14 1.80.0.0/13 1.92.0.0/14 1.180.0.0/14 1.188.0.0/14
1.192.0.0/13 1.202.0.0/15 1.204.0.0/14 14.16.0.0/12 14.104.0.0/13
14.112.0.0/12 14.134.0.0/15 14.144.0.0/12 14.204.0.0/15 14.208.0.0/12
23.80.54.0/24 23.104.141.0/24 23.105.14.0/24 23.226.208.0/24 27.8.0.0/13
27.16.0.0/12 27.36.0.0/14 27.40.0.0/13 27.50.128.0/17 27.54.192.0/18
27.106.128.0/18 27.115.0.0/17 27.148.0.0/14 27.152.0.0/13 27.184.0.0/13
27.192.0.0/11 27.224.0.0/14 36.1.0.0/16 36.4.0.0/14 36.26.0.0/16
36.32.0.0/14 36.36.0.0/16 36.40.0.0/13 36.48.0.0/15 36.56.0.0/13
36.96.0.0/11 36.128.0.0/11 36.248.0.0/14 39.64.0.0/11 39.128.0.0/10
42.4.0.0/14 42.48.0.0/15 42.52.0.0/14 42.56.0.0/14 42.84.0.0/14
42.88.0.0/13 42.96.128.0/17 42.100.0.0/14 42.120.0.0/14 42.156.0.0/16
42.176.0.0/13 42.185.0.0/16 42.202.0.0/15 42.224.0.0/12 42.242.0.0/15
42.248.0.0/15 43.255.0.0/20 43.255.16.0/22 43.255.48.0/22 43.255.60.0/22
43.255.64.0/20 43.255.96.0/20 43.255.144.0/22 43.255.168.0/22
43.255.176.0/22 43.255.184.0/22 43.255.192.0/22 43.255.200.0/21
43.255.208.0/21 43.255.224.0/21 43.255.232.0/22 43.255.244.0/22
47.88.0.0/14 47.92.0.0/14 49.5.0.0/16 49.64.0.0/11 49.112.0.0/13
54.222.0.0/15 58.16.0.0/14 58.20.0.0/16 58.21.0.0/16 58.22.0.0/15
58.34.0.0/16 58.37.0.0/16 58.38.0.0/16 58.40.0.0/16 58.42.0.0/16
58.44.0.0/14 58.48.0.0/13 58.56.0.0/14 58.60.0.0/14 58.68.128.0/17
58.82.0.0/15 58.100.0.0/15 58.116.0.0/14 58.128.0.0/13 58.208.0.0/12
58.240.0.0/13 58.248.0.0/13 59.32.0.0/12 59.48.0.0/14 59.52.0.0/14
59.56.0.0/13 59.72.0.0/16 59.108.0.0/15 59.172.0.0/14 60.0.0.0/12
60.11.0.0/16 60.12.0.0/14 60.16.0.0/13 60.24.0.0/13 60.160.0.0/11
60.194.0.0/15 60.205.0.0/16 60.208.0.0/12 60.253.128.0/17 61.4.64.0/20
61.4.80.0/22 61.4.176.0/20 61.48.0.0/13 61.128.0.0/10 61.135.0.0/16
61.136.0.0/18 61.139.0.0/16 61.145.73.208/28 61.147.0.0/16 61.150.0.0/16
61.152.0.0/16 61.154.0.0/16 61.160.0.0/16 61.162.0.0/15 61.164.0.0/16
61.172.0.0/15 61.175.0.0/16 61.177.0.0/16 61.179.0.0/16 61.183.0.0/16
61.184.0.0/16 61.185.219.232/29 61.187.0.0/16 61.188.0.0/16
61.232.0.0/14 61.236.0.0/15 61.240.0.0/14
Etc
__________________________________________________________________________
pour iptables :
iptables -I INPUT 1 -s 212.83.144.0/20 -j DROP
iptables -I INPUT 1 -s 118.200.0.0/16 -j DROP
iptables -I INPUT 1 -s 207.46.0.0/16 -j DROP
iptables -I INPUT 1 -s 54.254.0.0/16 -j DROP
iptables -I INPUT 1 -s 91.224.160.0/23 -j DROP
iptables -I INPUT 1 -s 175.100.144.0/20 -j DROP
iptables -I INPUT 1 -s 134.212.0.0/15 -j DROP
iptables -I INPUT 1 -s 134.214.0.0/16 -j DROP
iptables -I INPUT 1 -s 190.255.176.88/29 -j DROP
iptables -I INPUT 1 -s 118.70.176.0/20 -j DROP
iptables -I INPUT 1 -s 195.154.0.0/17 -j DROP
iptables -I INPUT 1 -s 91.200.12.0/22 -j DROP
iptables-save -c > /etc/iptables-save
Etc
Amicalement,
Jean alias JeandePeyrat
https://www.freeguppy.org/
https://asso.freeguppy.org/
https://www.anacr-correze.fr/
https://Beaucoup d'autres !
Le 05/06/2019 à 08:32, steve a écrit :
Salut à tous,
Depuis une dizaine de jours, j'observe une augmentation massive de scans
sur ma machine.
sshd:
   Authentication Failures:
      unknown (115.159.235.17): 100 Time(s)
      unknown (153.37.192.4): 99 Time(s)
      unknown (183.103.146.208): 99 Time(s)
      unknown (190.0.159.69): 99 Time(s)
      unknown (106.13.103.204): 98 Time(s)
      unknown (109.86.200.141): 98 Time(s)
      unknown (94.23.62.187): 98 Time(s)
      unknown (45.127.106.51): 96 Time(s)
      unknown (103.202.132.175): 95 Time(s)
      unknown (217.182.95.16): 95 Time(s)
      unknown (47.74.150.153): 95 Time(s)
      unknown (220.168.86.37): 87 Time(s)
      unknown (122.155.223.31): 73 Time(s)
      unknown (190.111.239.48): 70 Time(s)
      unknown (188.166.31.205): 56 Time(s)
      unknown (47.254.158.221): 48 Time(s)
      unknown (51.15.117.94): 47 Time(s)
      unknown (142.93.237.233): 34 Time(s)
      unknown (223.83.155.77): 16 Time(s)
      unknown (41.77.145.34): 13 Time(s)
      unknown (118.24.99.163): 12 Time(s)
      unknown (46.190.57.82): 9 Time(s)
      unknown (89.79.197.61): 9 Time(s)
      unknown (115.159.30.108): 8 Time(s)
      backup (188.166.31.205): 2 Time(s)
      root (104.236.102.16): 2 Time(s)
      root (223.17.237.138): 2 Time(s)
      unknown (128.199.221.18): 2 Time(s)
      backup (103.202.132.175): 1 Time(s)
      backup (47.254.158.221): 1 Time(s)
      backup (47.74.150.153): 1 Time(s)
      daemon (45.127.106.51): 1 Time(s)
      backup (188.166.31.205): 2 Time(s)
      root (104.236.102.16): 2 Time(s)
      root (223.17.237.138): 2 Time(s)
      unknown (128.199.221.18): 2 Time(s)
      backup (103.202.132.175): 1 Time(s)
      backup (47.254.158.221): 1 Time(s)
      backup (47.74.150.153): 1 Time(s)
      daemon (45.127.106.51): 1 Time(s)
      games (103.202.132.175): 1 Time(s)
      games (188.166.31.205): 1 Time(s)
      games (94.23.62.187): 1 Time(s)
      gnats (159.65.144.233): 1 Time(s)
      gnats (190.111.239.48): 1 Time(s)
      gnats (45.127.106.51): 1 Time(s)
      hplip (103.202.132.175): 1 Time(s)
      irc (106.13.103.204): 1 Time(s)
      irc (217.182.95.16): 1 Time(s)
      irc (41.77.145.34): 1 Time(s)
      irc (47.74.150.153): 1 Time(s)
      list (47.254.158.221): 1 Time(s)
      lp (217.182.95.16): 1 Time(s)
      mail (103.202.132.175): 1 Time(s)
      man (115.159.30.108): 1 Time(s)
      man (153.37.192.4): 1 Time(s)
      man (47.74.150.153): 1 Time(s)
      mysql (109.86.200.141): 1 Time(s)
      mysql (153.37.192.4): 1 Time(s)
      mysql (190.111.239.48): 1 Time(s)
      mysql (202.88.241.107): 1 Time(s)
      mysql (45.127.106.51): 1 Time(s)
      mysql (51.15.117.94): 1 Time(s)
      mysql (81.133.216.92): 1 Time(s)
      mysql (94.23.62.187): 1 Time(s)
      news (190.0.159.69): 1 Time(s)
      news (47.74.150.153): 1 Time(s)
      nobody (118.25.221.166): 1 Time(s)
      nobody (217.182.95.16): 1 Time(s)
      plex (217.182.95.16): 1 Time(s)
      proxy (103.202.132.175): 1 Time(s)
      proxy (47.74.150.153): 1 Time(s)
      root (104.248.211.180): 1 Time(s)
      root (105.235.116.254): 1 Time(s)
      Invalid Users:
      Unknown Account: 1610 Time(s)
Je me demandais si vous observiez la même chose.
Merci
Steve


---
L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast.
https://www.avast.com/antivirus
Yann Serre
Le #26518270
Bonjour,
Même si vous faites parti des personnes sensibilisées, voici un article
de presse grand public. Je pense que ça a un rapport avec le sujet même
si la piste mafieuse serait probablement à privilégier.
https://www.ouest-france.fr/high-tech/le-risque-d-un-pearl-harbor-informatique-contre-la-france-est-bien-reel-6381766
steve
Le #26518283
Le mercredi 05 juin 2019, Yahoo a écrit :
Bonjour,
c'est quasiment tous le temps, si tu veux limiter cela tu peux modifier le
port de ta connexion ssh, cela évite une bonne partie de ces bots,

Déjà fait depuis longtemps (22->2222). Peut-être faudrait-il que je
mette un port moins évident ?
ensuite tu peux mettre fail2ban pour les irréductibles que trouverais le
bon ports.

# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 2
| |- Total failed: 11952
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 3
|- Total banned: 54
`- Banned IP list: 73.15.91.251 104.248.187.179 41.223.142.211
Mais en fait ma question était plus sur une éventuelle augmentation de
la fréquence de scan que sur les méthodes de mitigation que je connais
déjà et qui sont en place.
Yahoo
Le #26518285
D??sol??, je n'avais pas compris ta demande.
Donc sur la fr??quence, de mon c??t?? j'ai tr??s peu d'attaque force brut
sur le service ssh, mais effectivement j'utilise un port un peu plus
exotique que le tiens
la vue pour un serveur up depuis 1 ans:
Status for the jail: sshd
|- Filter
|?? |- Currently failed: 0
|?? |- Total failed:???????? 23
|?? `- File list:?????????????? /var/log/auth.log
`- Actions
???? |- Currently banned: 0
???? |- Total banned:???????? 1
???? `- Banned IP list:
Il est donc possible que 2222 soit trop simple
Le 05/06/2019 ?? 13:33, steve a ??crit??:
Le mercredi 05 juin 2019, Yahoo a ??crit??:
?? Bonjour,
?? c'est quasiment tous le temps, si tu veux limiter cela tu peux
modifier le
?? port de ta connexion ssh, cela ??vite une bonne partie de ces bots,

D??j?? fait depuis longtemps (22->2222). Peut-??tre faudrait-il que je
mette un port moins ??vident???
?? ensuite tu peux mettre fail2ban pour les irr??ductibles que
trouverais le
?? bon ports.

# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|?? |- Currently failed:?????? 2
|?? |- Total failed:?????? 11952
|?? `- File list:?????? /var/log/auth.log
`- Actions
?? |- Currently banned:?????? 3
?? |- Total banned:?????? 54
?? `- Banned IP list:?????? 73.15.91.251 104.248.187.179 41.223.142.211
Mais en fait ma question ??tait plus sur une ??ventuelle augmentation de
la fr??quence de scan que sur les m??thodes de mitigation que je connais
d??j?? et qui sont en place.
Pierre Malard
Le #26518341
--Apple-Mail=_E376CEA3-D101-4690-85C5-35257388C5CA
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain;
charset=utf-8
Bonjour,
Sans présumer de qui est le plus « méchant » (Chinois, Russes, USA, Fr…) et pratique
le scan massif, je ne saurait trop conseiller un filtrage avec la limitation des
ports ouverts par un pare-feu et, sur les serveurs ouverts, l’installation de
« Fail2Ban » en validant les règles « récidive ».
Pour ceux qui ne savent pas entendre raison il y a le truc de « ban-them » qui
construit une liste à chaud de ceux-là et … les bannis définitivement. C’est
très utile et évite de faire tout ça à la main :
https://www.cybernaute.ch/bannir-definitivement-ip-bannies-frequemment-fai l2ban/#comment-366
Cela demande tout de même une surveillance pour éviter les faux positifs mais
c’est très bien.
Cordialement
Le 5 juin 2019 à 14:23, Yahoo D??sol??, je n'avais pas compris ta demande.
Donc sur la fr??quence, de mon c??t?? j'ai tr??s peu d'attaque force brut sur le service ssh, mais effectivement j'utilise un port un peu plus exotique que le tiens
la vue pour un serveur up depuis 1 ans:
Status for the jail: sshd
|- Filter
|?? |- Currently failed: 0
|?? |- Total failed:???????? 23
|?? `- File list:?????????????? /var/log/auth.log
`- Actions
???? |- Currently banned: 0
???? |- Total banned:???????? 1
???? `- Banned IP list:
Il est donc possible que 2222 soit trop simple
Le 05/06/2019 ?? 13:33, steve a ??crit??:
Le mercredi 05 juin 2019, Yahoo a ??crit??:
?? Bonjour,
?? c'est quasiment tous le temps, si tu veux limiter cela tu peux modifier le
?? port de ta connexion ssh, cela ??vite une bonne partie de ces bots,

D??j?? fait depuis longtemps (22->2222). Peut-??tre faudrait-il que je
mette un port moins ??vident???
?? ensuite tu peux mettre fail2ban pour les irr??ductibles que trouverais le
?? bon ports.

# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|?? |- Currently failed:?????? 2
|?? |- Total failed:?????? 11952
|?? `- File list:?????? /var/log/auth.log
`- Actions
?? |- Currently banned:?????? 3
?? |- Total banned:?????? 54
?? `- Banned IP list:?????? 73.15.91.251 104.248.187.179 41.223.142.211
Mais en fait ma question ??tait plus sur une ??ventuelle augmentation de
la fr??quence de scan que sur les m??thodes de mitigation que je connais
d??j?? et qui sont en place.



--
Pierre Malard
« Les utopies ne sont souvent que des vérités prématurées »
Alphonse de Lamartine
| _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. , ( `'-'
'---''(_/--' `-'_) πr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_): 24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
--Apple-Mail=_E376CEA3-D101-4690-85C5-35257388C5CA
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment;
filename=signature.asc
Content-Type: application/pgp-signature;
name=signature.asc
Content-Description: Message signed with OpenPGP
-----BEGIN PGP SIGNATURE-----
Version: GnuPG/MacGPG2 v2.2
Comment: GPGTools - http://gpgtools.org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 =6UlS
-----END PGP SIGNATURE-----
--Apple-Mail=_E376CEA3-D101-4690-85C5-35257388C5CA--
Daniel Caillibaud
Le #26518343
--Sig_/DJZRg.c0pK2Hk2TXHfHALOj
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
Le 06/06/19 à 08:30, Pierre Malard
Bonjour,
Sans présumer de qui est le plus « méchant » (Chinois , Russes, USA, Fr…)
et pratique le scan massif, je ne saurait trop conseiller un filtrage
avec la limitation des ports ouverts par un pare-feu et, sur les serveurs
ouverts, l’installation de « Fail2Ban » en validant les règles « récidive
».

Sur un serveur en prod, l'intérêt d'un pare-feu est quand mê me très limité
(éventuellement pour gérer du throttle), à priori si un port est ouvert sur
une ip publique c'est qu'on veut qu'il soit accessible (sinon on l'aurait
pas ouvert là).
Pour le sshd, le plus efficace reste encore de le configurer pour interdire
la connexion par mot de passe, ensuite fail2ban n'est plus nécessaire
(sinon pour réduire le bruit dans auth.log).
Il faut mettre dans /etc/ssh/sshd_config la ligne :
PasswordAuthentication no
--
Daniel
Ne disons pas du mal du diable : c'est peut-être l'homme
d'affaires du bon dieu.
Bernard Fontenelle
--Sig_/DJZRg.c0pK2Hk2TXHfHALOj
Content-Type: application/pgp-signature
Content-Description: Signature digitale OpenPGP
-----BEGIN PGP SIGNATURE-----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 =G8sg
-----END PGP SIGNATURE-----
--Sig_/DJZRg.c0pK2Hk2TXHfHALOj--
Pierre Malard
Le #26518345
--Apple-Mail=_0A163544-9FE2-475B-BD36-E37E751F30E6
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain;
charset=utf-8
Le 6 juin 2019 à 09:09, Daniel Caillibaud Le 06/06/19 à 08:30, Pierre Malard
Bonjour,
Sans présumer de qui est le plus « méchant » (Chinois, Russes, USA, Fr…)
et pratique le scan massif, je ne saurait trop conseiller un filtrage
avec la limitation des ports ouverts par un pare-feu et, sur les serveurs
ouverts, l’installation de « Fail2Ban » en validant les règles « récidive
».

Sur un serveur en prod, l'intérêt d'un pare-feu est quand même très limité
(éventuellement pour gérer du throttle), à priori si un port est ouvert sur
une ip publique c'est qu'on veut qu'il soit accessible (sinon on l'aurait
pas ouvert là).

Effectivement c’est pourquoi il y avait un « et » et non un « ou ».
Pour le sshd, le plus efficace reste encore de le configurer pour interdire
la connexion par mot de passe, ensuite fail2ban n'est plus nécessai re
(sinon pour réduire le bruit dans auth.log).
Il faut mettre dans /etc/ssh/sshd_config la ligne :
PasswordAuthentication no

Effectivement, c’est même l’option par défaut sur toute installation
actuellement. C'était, dans mon esprit, la configuration de base mais il est vrai
que ce n’est pas parce que « ça allait sans le dire qu’il ne faut pas …
le dire ».
Merci
--
Pierre Malard
- --> Ce message n’engage que son auteur <--
--Apple-Mail=_0A163544-9FE2-475B-BD36-E37E751F30E6
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment;
filename=signature.asc
Content-Type: application/pgp-signature;
name=signature.asc
Content-Description: Message signed with OpenPGP
-----BEGIN PGP SIGNATURE-----
Version: GnuPG/MacGPG2 v2.2
Comment: GPGTools - http://gpgtools.org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 =8If4
-----END PGP SIGNATURE-----
--Apple-Mail=_0A163544-9FE2-475B-BD36-E37E751F30E6--
Daniel Caillibaud
Le #26518371
Le 06/06/19 à 10:31, Arnaud Gambonnet
Bonjour la liste,
Je n'ai pas lu en détails le fil, mais pour protéger les demand es
intempestives de connexions ssh (et d'autres si besoin), il existe la
solution de port knocking.

Pourquoi faire (compliqué) ?
Ce qui n’empêche pas de mettre en place une authentification par
certificat et fail2ban pour les services moins sensibles.

Au contraire, auth par certif pour tous les serveurs, sensibles ou pas, et
plus besoin de port knocking ni port exotique ni fail2ban, on peut rester
sur du standard avec ssh sur le port 22 qui fonctionne comme attendu.
--
Daniel
On devient jeune à soixante ans.
Malheureusement c'est trop tard.
Pablo Picasso
Florian Blanc
Le #26518381
--00000000000038e3c3058aa8d84e
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Bon je vais vous livrer un petit secret.
J'utilise des noip qui mettent à jour mon ip public cliente sur un dns .
Sur mon script principal iptables je crée une chain qui s'appelle INDY NAMIC
à partir de INPUT:
/sbin/iptables -A INPUT -j INDYNAMIC
Ensuite j'ai un second script iptables pour écraser mes regles dynamiq ue
comme ceci:
/sbin/iptables -F INDYNAMIC # ici je flush
/sbin/iptables -A INDYNAMIC -m tcp -p tcp --src lolilol.dyndnsnoiplalala.io
--dport 22 -j ACCEPT # j'autorise lolilol.dyndnsnoiplalala.io sur le port
22 (il fait la résolution comme un grand).
je crontab ce dernier script qui s'execute toutes les x minutes (20 par
exemple).
tu le combine à fail2ban et c'est bon.
Le jeu. 6 juin 2019 à 15:45, Daniel Caillibaud écrit :
Le 06/06/19 à 10:31, Arnaud Gambonnet écrit :
Bonjour la liste,
Je n'ai pas lu en détails le fil, mais pour protéger les dema ndes
intempestives de connexions ssh (et d'autres si besoin), il existe la
solution de port knocking.

Pourquoi faire (compliqué) ?
Ce qui n’empêche pas de mettre en place une authentificati on par
certificat et fail2ban pour les services moins sensibles.

Au contraire, auth par certif pour tous les serveurs, sensibles ou pas, e t
plus besoin de port knocking ni port exotique ni fail2ban, on peut rester
sur du standard avec ssh sur le port 22 qui fonctionne comme attendu.
--
Daniel
On devient jeune à soixante ans.
Malheureusement c'est trop tard.
Pablo Picasso


--00000000000038e3c3058aa8d84e
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
sur le port 22 (il fait la résolution comme un grand). &gt; Bonjour la liste,<br>
&gt; <br>
&gt; Je n&#39;ai pas lu en détails le fil, mais pour protéger les demandes<br>
&gt; intempestives de connexions ssh (et d&#39;autres si besoin), il existe la<br>
&gt; solution de port knocking.<br>
<br>
Pourquoi faire (compliqué) ?<br>
<br>
&gt; Ce qui n’empêche pas de mettre en place une authentificat ion par<br>
&gt; certificat et fail2ban pour les services moins sensibles.<br>
<br>
Au contraire, auth par certif pour tous les serveurs, sensibles ou pas, et< br>
plus besoin de port knocking ni port exotique ni fail2ban, on peut rester<b r>
sur du standard avec ssh sur le port 22 qui fonctionne comme attendu.<br>
<br>
-- <br>
Daniel<br>
<br>
On devient jeune à soixante ans.<br>
Malheureusement c&#39;est trop tard.<br>
Pablo Picasso<br>
<br>
</div>
--00000000000038e3c3058aa8d84e--
Daniel Huhardeaux
Le #26518425
Le 06/06/2019 à 20:10, Florian Blanc a écrit :
Lol tu réduis la charge serveur au lieu de laisser ssh écouter et
répondre à tout le net... (valable pour tous les types
d'authentification ssh)
Merci de me faire savoir si je me trompe
Publicité
Poster une réponse
Anonyme