Je fais tourner une Ubuntu 7.04 24h/24 avec apache2, vsftpd et ssh.
Et je viens d'avoir un problème: j'ai éteint le PC pour rebrancher une
nappe dans le PC et quand j'ai relancé la machine, je n'arrivais plus à
me logguer sous KDE, car certains fichiers avaient vu leurs droits
modifiés.
/dev/null était devenu crw------- , ce qui faisait foiré des test dans
mon ~/.bashrc (j'ai remis crw-rw-rw-)
mon répertoire /home/ftp appartenait à saned (UID=116) au lieu de ftp
(UID=117)
Le problème est que je n'ai aucune idée de quoi regarder dans les logs
pour chercher ce qui a été eventuellement fait sur la machine.
J'ai juste ça dans /var/log/auth.log:
8<-----------8<---------8<----------8<----------8<----------8<----------8<----
Jun 5 12:32:30 Deborah sshd[6521]: Invalid user firebird from 69.50.198.12
Jun 5 12:32:32 Deborah sshd[6521]: Failed password for invalid user firebird
from 69.50.198.12 port 33593 ssh2
Jun 5 12:32:37 Deborah sshd[6523]: Failed password for root from 69.50.198.12
port 33824 ssh2
Jun 5 12:32:38 Deborah sshd[6526]: Invalid user user from 69.50.198.12
Jun 5 12:32:40 Deborah sshd[6526]: Failed password for invalid user user from
69.50.198.12 port 34133 ssh2
[...] essai de 'admin', 'guest', 'sales', 'oracle', ftptest' 'mysql',
'usertest', 'administrator'
Jun 5 12:33:17 Deborah sshd[6544]: Failed password for root from 69.50.198.12
port 36554 ssh2
[...] 20 lignes où seul le port change
Jun 5 12:34:39 Deborah sshd[6728]: Failed password for root from 69.50.198.12
port 42052 ssh2
8<-----------8<---------8<----------8<----------8<----------8<----------8<----
Le simple fait que ce log n'ai pas été nettoyé peut-il me laisser penser
que j'ai eu affaire à un inoffensif script-kiddie ?
L'autre problème (sans doute bien plus grave et qui va en faire hurler
certains), c'est que je ne sais pas sécuriser une machine. J'ai quand
même
PermitRootLogin no
PermitEmptyPasswords no
dans /etc/ssh/sshd.config
mais je n'ai jamais rien compris à la syntaxe d'iptables. Et si un
aimable contributeur du ng pouvait me donner une url pour newbie
complet, je lui en serais reconnaissant.
On 06 Jun 2007 10:48:38 GMT, "Mihamina (R12y) Rakotomandimby" :
Passer par deux mot de passes plutot qu'un seul est-il vraiment un gain "a peu pres nul"?
Oui. Si un gars réussit à trouver un mot de passe, il réussira à en trouver deux. Cf aussi <news:.
Corsica
On 06 Jun 2007 10:48:38 GMT, "Mihamina (R12y) Rakotomandimby" :
Passer par deux mot de passes plutot qu'un seul est-il vraiment un gain "a peu pres nul"?
Oui. Si un gars réussit à trouver un mot de passe, il réussira à en trouver deux. Cf aussi <news:.
Ok, inversons le raisonnement, tu estime à combien le temps pour "trouver" un mots de passe de 8 caractéres (Majuscule,minuscule et caractères exotisques _!& etc...) ?
1 minute, 10 minutes, 1 heure, 2 heures, 1 jour ?? Et surtout combien de test lui faudra-t-il pour le trouver, car ne pas oublier que 3 tentatives fausses = 10 minutes avant de pouvoir continuer ?
Amitiés de Corse
On 06 Jun 2007 10:48:38 GMT, "Mihamina (R12y) Rakotomandimby" :
Passer par deux mot de passes plutot qu'un seul est-il vraiment un gain "a
peu pres nul"?
Oui. Si un gars réussit à trouver un mot de passe, il réussira à en
trouver deux.
Cf aussi <news:dq6b6317bola7safb6nvdrh3o3lhf33f6u@4ax.com>.
Ok, inversons le raisonnement, tu estime à combien le temps pour
"trouver" un mots de passe de 8 caractéres (Majuscule,minuscule et
caractères exotisques _!& etc...) ?
1 minute, 10 minutes, 1 heure, 2 heures, 1 jour ??
Et surtout combien de test lui faudra-t-il pour le trouver, car ne pas
oublier que 3 tentatives fausses = 10 minutes avant de pouvoir continuer ?
On 06 Jun 2007 10:48:38 GMT, "Mihamina (R12y) Rakotomandimby" :
Passer par deux mot de passes plutot qu'un seul est-il vraiment un gain "a peu pres nul"?
Oui. Si un gars réussit à trouver un mot de passe, il réussira à en trouver deux. Cf aussi <news:.
Ok, inversons le raisonnement, tu estime à combien le temps pour "trouver" un mots de passe de 8 caractéres (Majuscule,minuscule et caractères exotisques _!& etc...) ?
1 minute, 10 minutes, 1 heure, 2 heures, 1 jour ?? Et surtout combien de test lui faudra-t-il pour le trouver, car ne pas oublier que 3 tentatives fausses = 10 minutes avant de pouvoir continuer ?
Amitiés de Corse
Corsica
On 06 Jun 2007 10:48:38 GMT, "Mihamina (R12y) Rakotomandimby" :
Passer par deux mot de passes plutot qu'un seul est-il vraiment un gain "a peu pres nul"?
Oui. Si un gars réussit à trouver un mot de passe, il réussira à en trouver deux. Cf aussi <news:.
Ton raisonnement n'est valable QUE si tu considère que ton mot de passe est meilleur que le mien..... Mais comme on a la même complexité de mot de passe, quand il a trouvé chez toi, c'est le carnaval sur tin serveur, alors que chez moi, il doit recommencer.....
Amitiés de Corse
On 06 Jun 2007 10:48:38 GMT, "Mihamina (R12y) Rakotomandimby" :
Passer par deux mot de passes plutot qu'un seul est-il vraiment un gain "a
peu pres nul"?
Oui. Si un gars réussit à trouver un mot de passe, il réussira à en
trouver deux.
Cf aussi <news:dq6b6317bola7safb6nvdrh3o3lhf33f6u@4ax.com>.
Ton raisonnement n'est valable QUE si tu considère que ton mot de passe
est meilleur que le mien.....
Mais comme on a la même complexité de mot de passe, quand il a trouvé
chez toi, c'est le carnaval sur tin serveur, alors que chez moi, il doit
recommencer.....
On 06 Jun 2007 10:48:38 GMT, "Mihamina (R12y) Rakotomandimby" :
Passer par deux mot de passes plutot qu'un seul est-il vraiment un gain "a peu pres nul"?
Oui. Si un gars réussit à trouver un mot de passe, il réussira à en trouver deux. Cf aussi <news:.
Ton raisonnement n'est valable QUE si tu considère que ton mot de passe est meilleur que le mien..... Mais comme on a la même complexité de mot de passe, quand il a trouvé chez toi, c'est le carnaval sur tin serveur, alors que chez moi, il doit recommencer.....
Amitiés de Corse
Fabien LE LEZ
On 06 Jun 2007 11:39:01 GMT, (Benoit Leraillez):
Sinon j'aime bien le principe qui existait sur mon AS400. Trois tentatives et ensuite le compte est bloqué, même pour le compte admin/root. La seule solution pour débloquer est de saisir le mot de passe directment sur la machine et non plus par le réseau (pour le root)
C'est un principe parfaitement stupide, puisqu'il peut déclencher des DoS très facilement. Par contre, bloquer une adresse IP pendant X minutes après N tentatives infructueuses me semble une bonne idée.
On 06 Jun 2007 11:39:01 GMT, benoit.sansspam@leraillez.sansspam.com
(Benoit Leraillez):
Sinon j'aime bien le principe qui existait sur mon AS400. Trois
tentatives et ensuite le compte est bloqué, même pour le compte
admin/root. La seule solution pour débloquer est de saisir le mot de
passe directment sur la machine et non plus par le réseau (pour le root)
C'est un principe parfaitement stupide, puisqu'il peut déclencher des
DoS très facilement.
Par contre, bloquer une adresse IP pendant X minutes après N
tentatives infructueuses me semble une bonne idée.
Sinon j'aime bien le principe qui existait sur mon AS400. Trois tentatives et ensuite le compte est bloqué, même pour le compte admin/root. La seule solution pour débloquer est de saisir le mot de passe directment sur la machine et non plus par le réseau (pour le root)
C'est un principe parfaitement stupide, puisqu'il peut déclencher des DoS très facilement. Par contre, bloquer une adresse IP pendant X minutes après N tentatives infructueuses me semble une bonne idée.
Eric Masson
Fabien LE LEZ writes:
'Lut,
Oui. Si un gars réussit à trouver un mot de passe, il réussira à en trouver deux.
Tu ne démontres rien, tu affirmes.
--
dans les news on ne parles quasi exclusivement que de red hat pour linux. alors que pensez vous de SUSE 6.0 je ne pense rien de la Suse car je n'ai pas de RedHat
-+- TP in Guide du linuxien pervers - "Bien configurer sa distribution" -+-
Fabien LE LEZ <gramster@gramster.com> writes:
'Lut,
Oui. Si un gars réussit à trouver un mot de passe, il réussira à en
trouver deux.
Tu ne démontres rien, tu affirmes.
--
dans les news on ne parles quasi exclusivement que de red hat pour linux.
alors que pensez vous de SUSE 6.0
je ne pense rien de la Suse car je n'ai pas de RedHat
-+- TP in Guide du linuxien pervers - "Bien configurer sa distribution" -+-
Oui. Si un gars réussit à trouver un mot de passe, il réussira à en trouver deux.
Tu ne démontres rien, tu affirmes.
--
dans les news on ne parles quasi exclusivement que de red hat pour linux. alors que pensez vous de SUSE 6.0 je ne pense rien de la Suse car je n'ai pas de RedHat
-+- TP in Guide du linuxien pervers - "Bien configurer sa distribution" -+-
Stephane Dupille
C'est un principe parfaitement stupide, puisqu'il peut déclencher des DoS très facilement.
Oui.
Par contre, bloquer une adresse IP pendant X minutes après N tentatives infructueuses me semble une bonne idée.
C'est la même chose : il suffit de mettre un robot qui va tester le mdp toutes les X minutes pour avoir le même résultat.
C'est un principe parfaitement stupide, puisqu'il peut déclencher des
DoS très facilement.
Oui.
Par contre, bloquer une adresse IP pendant X minutes après N
tentatives infructueuses me semble une bonne idée.
C'est la même chose : il suffit de mettre un robot qui va tester le
mdp toutes les X minutes pour avoir le même résultat.
C'est un principe parfaitement stupide, puisqu'il peut déclencher des DoS très facilement.
Oui.
Par contre, bloquer une adresse IP pendant X minutes après N tentatives infructueuses me semble une bonne idée.
C'est la même chose : il suffit de mettre un robot qui va tester le mdp toutes les X minutes pour avoir le même résultat.
Stephane Dupille
Quelqu'un pourrait me dire pourquoi ce genre de sécurités basiques, simples et diablement efficaces, ne sont pas installées par défaut sur _toutes_ les diverses versions d'Unix ?
Parce que le problème n'est pas là. Si le mot de passe est correctement choisi, et si les utilisateurs le gardent secret, il ne sert à rien de mettre un délai pour saisir le mdp : les attaques par dictionnaire ne marcheront pas de toute façon, et l'attaque par force brute metterait trop de temps dans tous les cas, délai ajouté, ou pas.
Si les utilisateurs ne gardent pas le mot de passe secret (l'ingenerie sociale, c'est encore l'attaque qui marche la mieux), rajouter des délais ne servira à rien. Rajouter un second mot de passe non plus : si on en donne un, on les donne tous. Mettre un second mot de passe sera dans tous les cas improductif : quand on fait chier les utilisateurs, ils trouvent toujours un truc pour passer outre, et donc le second sera toujours le premier à un caractère près.
Bloquer l'accès au compte si on s'est planté x fois dans le mot de passe est le meilleur moyen d'avoir un DOS. Il suffirait de mettre un robot qui attaque très régulièrement le compte pour ne plus y avoir accès du tout : sitôt débloqué, le robot sera plus rapide que le bonhomme pour rebloquer le compte le temps de se relogger.
Et le délai ne sert que si on met un mot de passe issu d'un dictionnaire. La plupart des Unix actuels permettent d'éviter ça en testant le mdp au moment où on le change, rendant le délai inutile.
Quelqu'un pourrait me dire pourquoi ce genre de sécurités basiques,
simples et diablement efficaces, ne sont pas installées par défaut sur
_toutes_ les diverses versions d'Unix ?
Parce que le problème n'est pas là. Si le mot de passe est
correctement choisi, et si les utilisateurs le gardent secret, il ne
sert à rien de mettre un délai pour saisir le mdp : les attaques par
dictionnaire ne marcheront pas de toute façon, et l'attaque par force
brute metterait trop de temps dans tous les cas, délai ajouté, ou pas.
Si les utilisateurs ne gardent pas le mot de passe secret
(l'ingenerie sociale, c'est encore l'attaque qui marche la mieux),
rajouter des délais ne servira à rien. Rajouter un second mot de passe
non plus : si on en donne un, on les donne tous. Mettre un second mot
de passe sera dans tous les cas improductif : quand on fait chier les
utilisateurs, ils trouvent toujours un truc pour passer outre, et donc
le second sera toujours le premier à un caractère près.
Bloquer l'accès au compte si on s'est planté x fois dans le mot de
passe est le meilleur moyen d'avoir un DOS. Il suffirait de mettre un
robot qui attaque très régulièrement le compte pour ne plus y avoir
accès du tout : sitôt débloqué, le robot sera plus rapide que le
bonhomme pour rebloquer le compte le temps de se relogger.
Et le délai ne sert que si on met un mot de passe issu d'un
dictionnaire. La plupart des Unix actuels permettent d'éviter ça en
testant le mdp au moment où on le change, rendant le délai inutile.
Quelqu'un pourrait me dire pourquoi ce genre de sécurités basiques, simples et diablement efficaces, ne sont pas installées par défaut sur _toutes_ les diverses versions d'Unix ?
Parce que le problème n'est pas là. Si le mot de passe est correctement choisi, et si les utilisateurs le gardent secret, il ne sert à rien de mettre un délai pour saisir le mdp : les attaques par dictionnaire ne marcheront pas de toute façon, et l'attaque par force brute metterait trop de temps dans tous les cas, délai ajouté, ou pas.
Si les utilisateurs ne gardent pas le mot de passe secret (l'ingenerie sociale, c'est encore l'attaque qui marche la mieux), rajouter des délais ne servira à rien. Rajouter un second mot de passe non plus : si on en donne un, on les donne tous. Mettre un second mot de passe sera dans tous les cas improductif : quand on fait chier les utilisateurs, ils trouvent toujours un truc pour passer outre, et donc le second sera toujours le premier à un caractère près.
Bloquer l'accès au compte si on s'est planté x fois dans le mot de passe est le meilleur moyen d'avoir un DOS. Il suffirait de mettre un robot qui attaque très régulièrement le compte pour ne plus y avoir accès du tout : sitôt débloqué, le robot sera plus rapide que le bonhomme pour rebloquer le compte le temps de se relogger.
Et le délai ne sert que si on met un mot de passe issu d'un dictionnaire. La plupart des Unix actuels permettent d'éviter ça en testant le mdp au moment où on le change, rendant le délai inutile.
Eric Masson
(Benoit Leraillez) writes:
'Lut,
Sinon j'aime bien le principe qui existait sur mon AS400. Trois tentatives et ensuite le compte est bloqué, même pour le compte admin/root. La seule solution pour débloquer est de saisir le mot de passe directment sur la machine et non plus par le réseau (pour le root) pour les users on est dans le standard, un admin rouvre le compte sur le réseau avec un nouveau de passe à modifier par le user.
Ça n'a pas changé.
Quelqu'un pourrait me dire pourquoi ce genre de sécurités basiques, simples et diablement efficaces, ne sont pas installées par défaut sur _toutes_ les diverses versions d'Unix ?
C'est implémentable facilement par scripts...
-- Ca fait 2 jours que j'essaie d'envoyer un post avec une pièce jointe = de 900 Ko (Base de donnée de gestion de portefeuille) Y'a un petit malin qui s'amuse à effacer les messages ou quoi ? -+- LL in <http://www.le-gnu.net> -+- Same Neuneu shoot again -+-
Sinon j'aime bien le principe qui existait sur mon AS400. Trois
tentatives et ensuite le compte est bloqué, même pour le compte
admin/root. La seule solution pour débloquer est de saisir le mot de
passe directment sur la machine et non plus par le réseau (pour le root)
pour les users on est dans le standard, un admin rouvre le compte sur le
réseau avec un nouveau de passe à modifier par le user.
Ça n'a pas changé.
Quelqu'un pourrait me dire pourquoi ce genre de sécurités basiques,
simples et diablement efficaces, ne sont pas installées par défaut sur
_toutes_ les diverses versions d'Unix ?
C'est implémentable facilement par scripts...
--
Ca fait 2 jours que j'essaie d'envoyer un post avec une pièce
jointe = de 900 Ko (Base de donnée de gestion de portefeuille)
Y'a un petit malin qui s'amuse à effacer les messages ou quoi ?
-+- LL in <http://www.le-gnu.net> -+- Same Neuneu shoot again -+-
Sinon j'aime bien le principe qui existait sur mon AS400. Trois tentatives et ensuite le compte est bloqué, même pour le compte admin/root. La seule solution pour débloquer est de saisir le mot de passe directment sur la machine et non plus par le réseau (pour le root) pour les users on est dans le standard, un admin rouvre le compte sur le réseau avec un nouveau de passe à modifier par le user.
Ça n'a pas changé.
Quelqu'un pourrait me dire pourquoi ce genre de sécurités basiques, simples et diablement efficaces, ne sont pas installées par défaut sur _toutes_ les diverses versions d'Unix ?
C'est implémentable facilement par scripts...
-- Ca fait 2 jours que j'essaie d'envoyer un post avec une pièce jointe = de 900 Ko (Base de donnée de gestion de portefeuille) Y'a un petit malin qui s'amuse à effacer les messages ou quoi ? -+- LL in <http://www.le-gnu.net> -+- Same Neuneu shoot again -+-
Eric Masson
Fabien LE LEZ writes:
'Lut,
C'est un principe parfaitement stupide, puisqu'il peut déclencher des DoS très facilement.
On ne met que très rarement un iSeries directement en liaison avec l'extérieur, c'est une machine de backoffice dont la compromission pourrait avoir des conséquences plus que fâcheuses.
Donc des mesures drastiques sont tout à fait adaptées, car si un assaillant est susceptible de tenter de se loguer, c'est que les couches le protégeant ont cédé et dans ce cas, il est nécessaire de couper court à toute manipulation hasardeuse.
Par contre, bloquer une adresse IP pendant X minutes après N tentatives infructueuses me semble une bonne idée.
Ce sont les frontaux de connexion qui doivent gérer ce genre de chose...
-- AC: Et je promet qu'elles seront disponibles avant la bouffe de samedi. Ol: Tt tt... Tout développeur faisant des promesses sur des dates de disponibilité tend le bazooka à clous pour se faire battre. -+- Ol. in Guide du Macounet Pervers : fcsm : fouet.cuir.sado.maso ? -+-
Fabien LE LEZ <gramster@gramster.com> writes:
'Lut,
C'est un principe parfaitement stupide, puisqu'il peut déclencher des
DoS très facilement.
On ne met que très rarement un iSeries directement en liaison avec
l'extérieur, c'est une machine de backoffice dont la compromission
pourrait avoir des conséquences plus que fâcheuses.
Donc des mesures drastiques sont tout à fait adaptées, car si un
assaillant est susceptible de tenter de se loguer, c'est que les couches
le protégeant ont cédé et dans ce cas, il est nécessaire de couper court
à toute manipulation hasardeuse.
Par contre, bloquer une adresse IP pendant X minutes après N
tentatives infructueuses me semble une bonne idée.
Ce sont les frontaux de connexion qui doivent gérer ce genre de chose...
--
AC: Et je promet qu'elles seront disponibles avant la bouffe de samedi.
Ol: Tt tt... Tout développeur faisant des promesses sur des dates de
disponibilité tend le bazooka à clous pour se faire battre.
-+- Ol. in Guide du Macounet Pervers : fcsm : fouet.cuir.sado.maso ? -+-
C'est un principe parfaitement stupide, puisqu'il peut déclencher des DoS très facilement.
On ne met que très rarement un iSeries directement en liaison avec l'extérieur, c'est une machine de backoffice dont la compromission pourrait avoir des conséquences plus que fâcheuses.
Donc des mesures drastiques sont tout à fait adaptées, car si un assaillant est susceptible de tenter de se loguer, c'est que les couches le protégeant ont cédé et dans ce cas, il est nécessaire de couper court à toute manipulation hasardeuse.
Par contre, bloquer une adresse IP pendant X minutes après N tentatives infructueuses me semble une bonne idée.
Ce sont les frontaux de connexion qui doivent gérer ce genre de chose...
-- AC: Et je promet qu'elles seront disponibles avant la bouffe de samedi. Ol: Tt tt... Tout développeur faisant des promesses sur des dates de disponibilité tend le bazooka à clous pour se faire battre. -+- Ol. in Guide du Macounet Pervers : fcsm : fouet.cuir.sado.maso ? -+-
Nina Popravka
On 06 Jun 2007 11:42:04 GMT, Fabien LE LEZ wrote:
C'est un principe parfaitement stupide, puisqu'il peut déclencher des DoS très facilement. C'était le fonctionnement par défaut de NT4, et les machines avec le
compte admin bloqué étaient légion ; ce qui était assez ennuyeux quand il n'y avait pas d'autre compte admin ;->>> -- Nina
On 06 Jun 2007 11:42:04 GMT, Fabien LE LEZ <gramster@gramster.com>
wrote:
C'est un principe parfaitement stupide, puisqu'il peut déclencher des
DoS très facilement.
C'était le fonctionnement par défaut de NT4, et les machines avec le
compte admin bloqué étaient légion ; ce qui était assez ennuyeux quand
il n'y avait pas d'autre compte admin ;->>>
--
Nina
C'est un principe parfaitement stupide, puisqu'il peut déclencher des DoS très facilement. C'était le fonctionnement par défaut de NT4, et les machines avec le
compte admin bloqué étaient légion ; ce qui était assez ennuyeux quand il n'y avait pas d'autre compte admin ;->>> -- Nina
