Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Comment checker le service ssh ou le rendre bavard?

3 réponses
Avatar
Olivier Pavilla
This is an OpenPGP/MIME signed message (RFC 2440 and 3156)
--------------enig4663FA375A277E9CB6975277
Content-Type: text/plain; charset=ISO-8859-15
Content-Transfer-Encoding: quoted-printable

Bonjour.

J'ai un serveur en Debian squeeze bits avec acc=E9s "direct"sur internet=
=2E
Je re=E7ois r=E9guli=E8rement des messages d'alerte de service down sur l=
e
port 22/ssh.
Je regarde dans les logs. A part des emmerdeurs chinois sur les ports 25
et 80. Y a rien. Comment faire pour rendre checker ce service pour
v=E9rifier qu'il fonctionne ou au moins le rendre super bavard dans les l=
ogs?


--------------enig4663FA375A277E9CB6975277
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOqjMBAAoJEM7XNMjeLGQfaFAH/0pcUCTfFbhFoHpxwsrNbW3S
BMcm3rr/eJV2ZnodT/LngUh9yahF6B8aWF9Ke79cxgQxOV6m5sBjwbIgmh2mG0sg
3etjAt2zjIpkMZ3SAiUSx6J/soGWSJ2lm6Eafytfyk1mqOZclv/ewAeJeB8nw1Lo
NNxTf94/cSa23Bqps4CA2aRME40ts3J+l+KFRLXX7p9K7bHPS3VM+y7U03YZxr+i
M1qOw5bqqyXnDZjHW1Nk5PzzFyhE6N8tayHu3uUytX5PBlwiOZ3ILt3Vaafuzsub
W4cg73DGeD9elBX1jeN53Lcv04l3hNQMXgcb/NkIjf3rD7fydQVWVZ2lNohTPkY=
=u/H6
-----END PGP SIGNATURE-----

--------------enig4663FA375A277E9CB6975277--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4EAA32F9.3090007@linux-squad.com

3 réponses

Avatar
Nahliel Steinberg
Bonjour.


Bonjour,

J'ai un serveur en Debian squeeze bits avec accés "direct"sur internet.
Je reçois régulièrement des messages d'alerte de service down sur le
port 22/ssh.



Si j'ai bien compris tu le supervises ?

Si il est en dehors de ton réseau comme je le comprends, j'ai pour habitude de
mettre en écoute mes serveurs sur un autre port que sur celui par défaut.

le 2222 par exemple, ou tu peux en chosir un autre qui peux évidement induire en erreur
les attanquants.

Exemple si ta machine n'utilise pas un service en particulier, mets-lui ce port d'écoute.

verifier avec netstat --pluton s'il n'est pas déjà actif par exemple et donne lui le port
choisi.


Je regarde dans les logs. A part des emmerdeurs chinois sur les ports 25
et 80. Y a rien. Comment faire pour rendre checker ce service pour
vérifier qu'il fonctionne ou au moins le rendre super bavard dans les logs?




Pour les logs, ca doit se paramétrer dans le sshd_config.

Coté supervision, j'utlise un check_service et je double la mise en checkant si le port est bien actif

netstat -ltn du port 22 et je renvoi en fonction le code d'erreur.

Si tu as snmpd qui tourne, tu peux rajouter une sonde qui walk la mib et récupère si le process fonctionne bien.

Voilou.



fin du message de Olivier Pavilla

--
Nahliel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Jean-Yves F. Barbier
On Fri, 28 Oct 2011 09:43:30 +0200
Nahliel Steinberg wrote:

Si il est en dehors de ton réseau comme je le comprends, j'ai pour h abitude de
mettre en écoute mes serveurs sur un autre port que sur celui par d éfaut.

le 2222 par exemple, ou tu peux en chosir un autre qui peux évidemen t induire en erreur
les attanquants.



On peut aussi (à partir du moment où les accès se font par m achines Linux)
installer knockd, qui n'ouvrira le bon port qu'après une succession de
pings sur des ports bien spécifiques.
Le Sce reste totalement invisible jusqu'à ouverture, et le redevient d ès
sa fermeture.

--
The difference between this school and a cactus plant is that the
cactus has the pricks on the outside.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Lucas
--bcaec5540aa47b21fb04b05f0ee5
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable


On peut aussi (à partir du moment où les accès se font par machines Linux)




Il existe également des client knockd pour windows (et en cas extrà ªme on
peut même s'en sortir avec un netcat).


installer knockd, qui n'ouvrira le bon port qu'après une succession de
pings sur des ports bien spécifiques.




Un peu de doc sur le portknocking : http://doc.ubuntu-fr.org/port-knocking" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://doc.ubuntu-fr.org/port-knocking

Mais le portknocking t'aidera seulement si la cause de tes coupures viens
d'un bruteforce trop violent. Ca reste quand même exceptionnel (pas le
bruteforce mais un bruteforce qui DoS).
Que donne : grep 'authentication failure' /var/log/auth.log |wc -l ?

Il est également possible que ce soit au niveau de ta sonde qu'il y ai un
problème. D'ailleurs c'est quoi cette sonde ? Elle fait quoi, juste un
handshake ou une connexion ssh ?

Pour augmenter la verbosité des log de sshd :

man sshd_config 5 :
LogLevel
Gives the verbosity level that is used when logging messages
from sshd(8). The possible values are: QUIET, FATAL, ERROR, INFO, VERBOSE,
DEBUG, DEBUG1, DEBUG2, and DEBUG3. The default is INFO. DEBUG and DEBUG1
are equivalent. DEBUG2 and DEBUG3 each specify higher levels of debugging
out‐put. Logging with a DEBUG level violates the privacy of users and is
not recommended.


Si tu veux réduire le bruteforce et donc la charge sur ton serveur ssh tu
peux également regarder du coté de fail2ban (
http://doc.ubuntu-fr.org/fail2ban* )* qui est moins poilue que le
portknocking.


My 2 cents,
L.

PS: Moi je parie sur la sonde !

--bcaec5540aa47b21fb04b05f0ee5
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<br><div class="gmail_quote"><blockquote class="gmail_quote" style="m argin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class ="im">
<br>
</div>On peut aussi (à partir du moment où les accès se font par machines Linux)<br></blockquote><div><br>Il existe également des client knockd pour windows (et en cas extrême on peut même s&#39; en sortir avec un netcat).<br>

 </div><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
installer knockd, qui n&#39;ouvrira le bon port qu&#39;après une succe ssion de<br>
pings sur des ports bien spécifiques.<br></blockquote><div><br>Un peu de doc sur le portknocking : <a href="http://doc.ubuntu-fr.org/port-knock ing">http://doc.ubuntu-fr.org/port-knocking" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://doc.ubuntu-fr.org/port-knocking</a> <br><br>Mais le portknockin g t&#39;aidera seulement si la cause de tes coupures viens d&#39;un brutefo rce trop violent. Ca reste quand même exceptionnel (pas le bruteforce mais un bruteforce qui DoS). <br>

Que donne : grep &#39;authentication failure&#39; /var/log/auth.log |wc -l ?<br><br>Il est également possible que ce soit au niveau de ta sonde q u&#39;il y ai un problème. D&#39;ailleurs c&#39;est quoi cette sonde ? Elle fait quoi, juste un handshake ou une connexion ssh ?<br>

<br>Pour augmenter la verbosité des log de sshd :<br><br>man sshd_conf ig 5 :<br>LogLevel<br>          Â Â Â  Gives the verbosity level that is used when logging m essages from sshd(8).  The possible values are: QUIET, FATAL, ERROR, I NFO, VERBOSE, DEBUG, DEBUG1, DEBUG2, and DEBUG3.  The default is INFO.   DEBUG and DEBUG1 are equivalent.  DEBUG2 and DEBUG3 each specif y higher levels of debugging out‐put.  Logging with a DEBUG le vel violates the privacy of users and is not recommended.<br>

<br><br>Si tu veux réduire le bruteforce et donc la charge sur ton ser veur ssh tu peux également regarder du coté de fail2ban ( <a href ="http://doc.ubuntu-fr.org/fail2ban">http://doc.ubuntu-fr.org/fail2ban</a ><b> )</b> qui est moins poilue que le portknocking.<br>

<br><br>My 2 cents,<br>L. <br><br>PS: Moi je parie sur la sonde !<br></div> </div>

--bcaec5540aa47b21fb04b05f0ee5--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/