Lorsque je consulte les logs de mon serveur dédié, je suis horrifié de voir
le nombre de tentative d'accès infructueux faites par des adresses IP dont
je ne suis pas à l'origine...
Les "méchants" essayent des logins et des passwords au hasard...
Est-il possible de faire quelque chose du style :
---> après 3 tentatives d'accès infructueuses depuis une même adresse IP
(quelque soit le login), le serveur bloque l'accès de cette IP pendant 48
heures ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pierre
"www.CONTACTMOI.com" a écrit dans le message de news: 420e342a$0$13407$
Bonjour,
Lorsque je consulte les logs de mon serveur dédié, je suis horrifié de voir
le nombre de tentative d'accès infructueux faites par des adresses IP dont je ne suis pas à l'origine...
Les "méchants" essayent des logins et des passwords au hasard...
Est-il possible de faire quelque chose du style :
---> après 3 tentatives d'accès infructueuses depuis une même adresse IP (quelque soit le login), le serveur bloque l'accès de cette IP Un petit shellscript qui verifie tes log en temps reel et ajoute les ip a
une liste de ban (gerer par iptable il me semble)... puis un petit scriptshell dans cron histoire de les nettoyer regulierement...toutes les 48h par exemple... pendant 48
heures ?
J'ai IPTABLE 1.2.9 installé.
Merciiiiiii,
André Nbac
enfin moi jdis ca mais vous savez...
"www.CONTACTMOI.com" <A_EFFACER_adk-a@lemel.fr> a écrit dans le message de
news: 420e342a$0$13407$626a14ce@news.free.fr...
Bonjour,
Lorsque je consulte les logs de mon serveur dédié, je suis horrifié de
voir
le nombre de tentative d'accès infructueux faites par des adresses IP dont
je ne suis pas à l'origine...
Les "méchants" essayent des logins et des passwords au hasard...
Est-il possible de faire quelque chose du style :
---> après 3 tentatives d'accès infructueuses depuis une même adresse IP
(quelque soit le login), le serveur bloque l'accès de cette IP
Un petit shellscript qui verifie tes log en temps reel et ajoute les ip a
une liste de ban (gerer par iptable il me semble)...
puis un petit scriptshell dans cron histoire de les nettoyer
regulierement...toutes les 48h par exemple...
pendant 48
"www.CONTACTMOI.com" a écrit dans le message de news: 420e342a$0$13407$
Bonjour,
Lorsque je consulte les logs de mon serveur dédié, je suis horrifié de voir
le nombre de tentative d'accès infructueux faites par des adresses IP dont je ne suis pas à l'origine...
Les "méchants" essayent des logins et des passwords au hasard...
Est-il possible de faire quelque chose du style :
---> après 3 tentatives d'accès infructueuses depuis une même adresse IP (quelque soit le login), le serveur bloque l'accès de cette IP Un petit shellscript qui verifie tes log en temps reel et ajoute les ip a
une liste de ban (gerer par iptable il me semble)... puis un petit scriptshell dans cron histoire de les nettoyer regulierement...toutes les 48h par exemple... pendant 48
heures ?
J'ai IPTABLE 1.2.9 installé.
Merciiiiiii,
André Nbac
enfin moi jdis ca mais vous savez...
JKB
Le 12-02-2005, à propos de Bloquer l'acces SSH apres 3 echec ?, www.CONTACTMOI.com écrivait dans fr.comp.securite :
Bonjour,
Lorsque je consulte les logs de mon serveur dédié, je suis horrifié de voir le nombre de tentative d'accès infructueux faites par des adresses IP dont je ne suis pas à l'origine...
Les "méchants" essayent des logins et des passwords au hasard...
Est-il possible de faire quelque chose du style :
---> après 3 tentatives d'accès infructueuses depuis une même adresse IP (quelque soit le login), le serveur bloque l'accès de cette IP pendant 48 heures ?
J'ai IPTABLE 1.2.9 installé.
Merciiiiiii,
Et en utilisant un port non standard pour le ssh ? Bloquer le sshd sur une adresse après trois tentatives et durant 24 heures, c'est AMHA très bête. Il m'arrive de temps en temps de me tromper de password en toute bonne foi trois fois de suite...
JKB
Le 12-02-2005, à propos de
Bloquer l'acces SSH apres 3 echec ?,
www.CONTACTMOI.com écrivait dans fr.comp.securite :
Bonjour,
Lorsque je consulte les logs de mon serveur dédié, je suis horrifié de voir
le nombre de tentative d'accès infructueux faites par des adresses IP dont
je ne suis pas à l'origine...
Les "méchants" essayent des logins et des passwords au hasard...
Est-il possible de faire quelque chose du style :
---> après 3 tentatives d'accès infructueuses depuis une même adresse IP
(quelque soit le login), le serveur bloque l'accès de cette IP pendant 48
heures ?
J'ai IPTABLE 1.2.9 installé.
Merciiiiiii,
Et en utilisant un port non standard pour le ssh ? Bloquer le sshd
sur une adresse après trois tentatives et durant 24 heures, c'est
AMHA très bête. Il m'arrive de temps en temps de me tromper de
password en toute bonne foi trois fois de suite...
Le 12-02-2005, à propos de Bloquer l'acces SSH apres 3 echec ?, www.CONTACTMOI.com écrivait dans fr.comp.securite :
Bonjour,
Lorsque je consulte les logs de mon serveur dédié, je suis horrifié de voir le nombre de tentative d'accès infructueux faites par des adresses IP dont je ne suis pas à l'origine...
Les "méchants" essayent des logins et des passwords au hasard...
Est-il possible de faire quelque chose du style :
---> après 3 tentatives d'accès infructueuses depuis une même adresse IP (quelque soit le login), le serveur bloque l'accès de cette IP pendant 48 heures ?
J'ai IPTABLE 1.2.9 installé.
Merciiiiiii,
Et en utilisant un port non standard pour le ssh ? Bloquer le sshd sur une adresse après trois tentatives et durant 24 heures, c'est AMHA très bête. Il m'arrive de temps en temps de me tromper de password en toute bonne foi trois fois de suite...
JKB
Snarf
On 2005-02-12, www.CONTACTMOI.com wrote:
Lorsque je consulte les logs de mon serveur dédié, je suis horrifié de voir le nombre de tentative d'accès infructueux faites par des adresses IP dont je ne suis pas à l'origine... voui c'est classique j'en ai plein mes logs
Les "méchants" essayent des logins et des passwords au hasard... s/mechants/scrips_a_la_con_de_machines_vérolées)/g ;)
Est-il possible de faire quelque chose du style : ---> après 3 tentatives d'accès infructueuses depuis une même adresse IP (quelque soit le login), le serveur bloque l'accès de cette IP pendant 48 heures ?
un truc dans ce gout la
for i in `cat /var/log/auth.log | grep "Illegal user" | awk '{print $10}' | uniq `; { iptables -A INPUT -s $i -j DROP; }
c'est pas mal ;)
a toi de le mettre dans la cron et de le bricoler un poil pour que tu ne repasse pas toujours les même ip dans iptables
si ta machine a le support ipv6 installé . il faut ajouter | sed -e 's/::ffff://g' apres le uniq .. ;)
c'est un poil bourrin mais c'est une bonne base
par contre tes regles vont assez rapidement gonfler .. ;)
Snarf, bash-style ;) -- "L'IRQ a été inventée par Murphy ; le partage des IRQ, par quelqu'un voulant le defier " echo '[q]sa[ln0=aln256%Pln256/snlbx]sb3135071790101768542287578439snlbxq' | dc
On 2005-02-12, www.CONTACTMOI.com <A_EFFACER_adk-a@lemel.fr> wrote:
Lorsque je consulte les logs de mon serveur dédié, je suis horrifié de voir
le nombre de tentative d'accès infructueux faites par des adresses IP dont
je ne suis pas à l'origine...
voui c'est classique j'en ai plein mes logs
Les "méchants" essayent des logins et des passwords au hasard...
s/mechants/scrips_a_la_con_de_machines_vérolées)/g ;)
Est-il possible de faire quelque chose du style :
---> après 3 tentatives d'accès infructueuses depuis une même adresse IP
(quelque soit le login), le serveur bloque l'accès de cette IP pendant 48
heures ?
un truc dans ce gout la
for i in `cat /var/log/auth.log | grep "Illegal user" | awk '{print
$10}' | uniq `; { iptables -A INPUT -s $i -j DROP; }
c'est pas mal ;)
a toi de le mettre dans la cron et de le bricoler un poil pour que tu ne
repasse pas toujours les même ip dans iptables
si ta machine a le support ipv6 installé . il faut ajouter
| sed -e 's/::ffff://g'
apres le uniq .. ;)
c'est un poil bourrin mais c'est une bonne base
par contre tes regles vont assez rapidement gonfler .. ;)
Snarf, bash-style ;)
--
"L'IRQ a été inventée par Murphy ; le partage des IRQ, par quelqu'un
voulant le defier "
echo '[q]sa[ln0=aln256%Pln256/snlbx]sb3135071790101768542287578439snlbxq' | dc
Lorsque je consulte les logs de mon serveur dédié, je suis horrifié de voir le nombre de tentative d'accès infructueux faites par des adresses IP dont je ne suis pas à l'origine... voui c'est classique j'en ai plein mes logs
Les "méchants" essayent des logins et des passwords au hasard... s/mechants/scrips_a_la_con_de_machines_vérolées)/g ;)
Est-il possible de faire quelque chose du style : ---> après 3 tentatives d'accès infructueuses depuis une même adresse IP (quelque soit le login), le serveur bloque l'accès de cette IP pendant 48 heures ?
un truc dans ce gout la
for i in `cat /var/log/auth.log | grep "Illegal user" | awk '{print $10}' | uniq `; { iptables -A INPUT -s $i -j DROP; }
c'est pas mal ;)
a toi de le mettre dans la cron et de le bricoler un poil pour que tu ne repasse pas toujours les même ip dans iptables
si ta machine a le support ipv6 installé . il faut ajouter | sed -e 's/::ffff://g' apres le uniq .. ;)
c'est un poil bourrin mais c'est une bonne base
par contre tes regles vont assez rapidement gonfler .. ;)
Snarf, bash-style ;) -- "L'IRQ a été inventée par Murphy ; le partage des IRQ, par quelqu'un voulant le defier " echo '[q]sa[ln0=aln256%Pln256/snlbx]sb3135071790101768542287578439snlbxq' | dc
Fabien LE LEZ
On 12 Feb 2005 21:56:27 GMT, JKB :
Bloquer le sshd sur une adresse après trois tentatives et durant 24 heures, c'est AMHA très bête.
C'est vrai que c'est un peu expéditif. Je verrais plutôt un truc progressif, du genre : 1ère erreur -> pas de blocage 2è erreur -> blocage pendant une minute 3è erreur -> blocage pendant deux minutes n-ème erreur -> blocage pendant 2^(n-1) minutes Le compteur étant bien sûr remis à zéro en cas de login correct.
-- ;-)
On 12 Feb 2005 21:56:27 GMT, JKB <knatschke@koenigsberg.fr>:
Bloquer le sshd
sur une adresse après trois tentatives et durant 24 heures, c'est
AMHA très bête.
C'est vrai que c'est un peu expéditif. Je verrais plutôt un truc
progressif, du genre :
1ère erreur -> pas de blocage
2è erreur -> blocage pendant une minute
3è erreur -> blocage pendant deux minutes
n-ème erreur -> blocage pendant 2^(n-1) minutes
Le compteur étant bien sûr remis à zéro en cas de login correct.
Bloquer le sshd sur une adresse après trois tentatives et durant 24 heures, c'est AMHA très bête.
C'est vrai que c'est un peu expéditif. Je verrais plutôt un truc progressif, du genre : 1ère erreur -> pas de blocage 2è erreur -> blocage pendant une minute 3è erreur -> blocage pendant deux minutes n-ème erreur -> blocage pendant 2^(n-1) minutes Le compteur étant bien sûr remis à zéro en cas de login correct.
-- ;-)
Gwenn
Lorsque je consulte les logs de mon serveur dédié, je suis horrifié de voir le nombre de tentative d'accès infructueux faites par des adresses IP dont je ne suis pas à l'origine...
Si tu as peu de vrais utilisateurs de ssh sur cette machine, tu peux mettre en place une solution de portknocking.
http://portknocking.org/
Par contre, si c'est une machine d'hébergement dédié, ça peut empecher ton hébergeur d'intervenir sur la machine.
-- Gwenn
Lorsque je consulte les logs de mon serveur dédié, je suis horrifié de
voir le nombre de tentative d'accès infructueux faites par des
adresses IP dont je ne suis pas à l'origine...
Si tu as peu de vrais utilisateurs de ssh sur cette machine, tu peux
mettre en place une solution de portknocking.
http://portknocking.org/
Par contre, si c'est une machine d'hébergement dédié, ça peut empecher
ton hébergeur d'intervenir sur la machine.
Lorsque je consulte les logs de mon serveur dédié, je suis horrifié de voir le nombre de tentative d'accès infructueux faites par des adresses IP dont je ne suis pas à l'origine...
Si tu as peu de vrais utilisateurs de ssh sur cette machine, tu peux mettre en place une solution de portknocking.
http://portknocking.org/
Par contre, si c'est une machine d'hébergement dédié, ça peut empecher ton hébergeur d'intervenir sur la machine.
-- Gwenn
Erwann ABALEA
Bonjour,
On Sat, 12 Feb 2005, www.CONTACTMOI.com wrote:
Lorsque je consulte les logs de mon serveur dédié, je suis horrifié de voir le nombre de tentative d'accès infructueux faites par des adresses IP dont je ne suis pas à l'origine...
Ah ben oui. Ca grossit les logs... ;)
Est-il possible de faire quelque chose du style :
---> après 3 tentatives d'accès infructueuses depuis une même adresse IP (quelque soit le login), le serveur bloque l'accès de cette IP pendant 48 heures ?
Oui, d'autres ont proposé leurs réponses. En ce qui concerne le blocage de tes propres machines quand tu fais une erreur de saisie, tu peux très bien mettre une règle en tout premier qui autorise le SSH à partir de telle IP ou tel réseau que tu sais sûr, et *ajouter* les règles bloquantes après. De cette manière, même si tu te gourres, tu as accès à ta machine.
Autre chose. Si tu peux, désactive l'authentification par mot de passe, n'autorise que le challenge RSA/DSA. Si parfois tu te connectes à partir d'une machine qui n'a pas la puissance de calcul nécessaire pour faire un RSA en temps raisonnable (c'est mon cas), tu peux installer OPIE et faire une authentification PAM.
Enfin, désactive bien évidemment l'accès root par SSH, c'est la première chose à faire.
Une fois tout ça mis en place, tu t'en fous un peu qu'un script kiddy essaye différents passwords... ;)
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- CM> Voici la liste des votants pour la création de CM> fr.comp.sys.calculatrices (non modéré). Pour l'instant, c'est fr.rec.jeux.video qui nous préoccupe... -+- SE in GNU - Neuneu en single neurone mode -+-
Bonjour,
On Sat, 12 Feb 2005, www.CONTACTMOI.com wrote:
Lorsque je consulte les logs de mon serveur dédié, je suis horrifié de voir
le nombre de tentative d'accès infructueux faites par des adresses IP dont
je ne suis pas à l'origine...
Ah ben oui. Ca grossit les logs... ;)
Est-il possible de faire quelque chose du style :
---> après 3 tentatives d'accès infructueuses depuis une même adresse IP
(quelque soit le login), le serveur bloque l'accès de cette IP pendant 48
heures ?
Oui, d'autres ont proposé leurs réponses. En ce qui concerne le blocage de
tes propres machines quand tu fais une erreur de saisie, tu peux très bien
mettre une règle en tout premier qui autorise le SSH à partir de telle IP
ou tel réseau que tu sais sûr, et *ajouter* les règles bloquantes après.
De cette manière, même si tu te gourres, tu as accès à ta machine.
Autre chose. Si tu peux, désactive l'authentification par mot de passe,
n'autorise que le challenge RSA/DSA. Si parfois tu te connectes à partir
d'une machine qui n'a pas la puissance de calcul nécessaire pour faire un
RSA en temps raisonnable (c'est mon cas), tu peux installer OPIE et faire
une authentification PAM.
Enfin, désactive bien évidemment l'accès root par SSH, c'est la première
chose à faire.
Une fois tout ça mis en place, tu t'en fous un peu qu'un script kiddy
essaye différents passwords... ;)
--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
CM> Voici la liste des votants pour la création de
CM> fr.comp.sys.calculatrices (non modéré).
Pour l'instant, c'est fr.rec.jeux.video qui nous préoccupe...
-+- SE in GNU - Neuneu en single neurone mode -+-
Lorsque je consulte les logs de mon serveur dédié, je suis horrifié de voir le nombre de tentative d'accès infructueux faites par des adresses IP dont je ne suis pas à l'origine...
Ah ben oui. Ca grossit les logs... ;)
Est-il possible de faire quelque chose du style :
---> après 3 tentatives d'accès infructueuses depuis une même adresse IP (quelque soit le login), le serveur bloque l'accès de cette IP pendant 48 heures ?
Oui, d'autres ont proposé leurs réponses. En ce qui concerne le blocage de tes propres machines quand tu fais une erreur de saisie, tu peux très bien mettre une règle en tout premier qui autorise le SSH à partir de telle IP ou tel réseau que tu sais sûr, et *ajouter* les règles bloquantes après. De cette manière, même si tu te gourres, tu as accès à ta machine.
Autre chose. Si tu peux, désactive l'authentification par mot de passe, n'autorise que le challenge RSA/DSA. Si parfois tu te connectes à partir d'une machine qui n'a pas la puissance de calcul nécessaire pour faire un RSA en temps raisonnable (c'est mon cas), tu peux installer OPIE et faire une authentification PAM.
Enfin, désactive bien évidemment l'accès root par SSH, c'est la première chose à faire.
Une fois tout ça mis en place, tu t'en fous un peu qu'un script kiddy essaye différents passwords... ;)
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- CM> Voici la liste des votants pour la création de CM> fr.comp.sys.calculatrices (non modéré). Pour l'instant, c'est fr.rec.jeux.video qui nous préoccupe... -+- SE in GNU - Neuneu en single neurone mode -+-
mna
Bonjour, [...]
bonsoir
sentrytools peut t'aider. http://sourceforge.net/projects/sentrytools/
Bonjour,
[...]
bonsoir
sentrytools peut t'aider.
http://sourceforge.net/projects/sentrytools/
