Ci-apr=E8s le contenu de deux logchecks de ce matin. Il me semble qu'il
s'agit de tentatives (infructueuses:) de se loguer sur ma machine via
ssh.
Quelqu'un peut-il m'indiquer comment je devrais r=E9agir en termes de
s=E9curisation, identification (commandes) et r=E9pression (abuse)?
Journal de 5h02:
Security Events
=3D-=3D-=3D-=3D-=3D-=3D-=3D-=3D
Mar 23 04:46:03 GDem3 sshd[11168]: Failed password for illegal user
test from ::ffff:211.176.33.46 port 50152 ssh2 Mar 23 04:46:06 GDem3
sshd[11174]: Failed password for illegal user guest from
::ffff:211.176.33.46 port 50252 ssh2 Mar 23 04:46:08 GDem3 sshd[11176]:
Illegal user admin from ::ffff:211.176.33.46 Mar 23 04:46:08 GDem3
sshd[11176]: Failed password for illegal user admin from
::ffff:211.176.33.46 port 50344 ssh2 Mar 23 04:46:11 GDem3 sshd[11182]:
Illegal user admin from ::ffff:211.176.33.46 Mar 23 04:46:11 GDem3
sshd[11182]: Failed password for illegal user admin from
::ffff:211.176.33.46 port 50439 ssh2 Mar 23 04:46:14 GDem3 sshd[11184]:
Failed password for illegal user user from ::ffff:211.176.33.46 port
50526 ssh2 Mar 23 04:46:17 GDem3 sshd[11190]: Failed password for root
from ::ffff:211.176.33.46 port 50618 ssh2 Mar 23 04:46:20 GDem3
sshd[11192]: Failed password for root from ::ffff:211.176.33.46 port
50711 ssh2 Mar 23 04:46:23 GDem3 sshd[11199]: Failed password for root
from ::ffff:211.176.33.46 port 50797 ssh2 Mar 23 04:46:26 GDem3
sshd[11201]: Failed password for illegal user test from
::ffff:211.176.33.46 port 50890 ssh2
System Events
=3D-=3D-=3D-=3D-=3D-=3D-=3D
Mar 23 04:46:03 GDem3 sshd[11168]: Illegal user test from
::ffff:211.176.33.46 Mar 23 04:46:03 GDem3 sshd[11168]: error: Could not
get shadow information for NOUSER Mar 23 04:46:06 GDem3 sshd[11174]:
Illegal user guest from ::ffff:211.176.33.46 Mar 23 04:46:06 GDem3
sshd[11174]: error: Could not get shadow information for NOUSER Mar 23
04:46:08 GDem3 sshd[11176]: error: Could not get shadow information for
NOUSER Mar 23 04:46:11 GDem3 sshd[11182]: error: Could not get shadow
information for NOUSER Mar 23 04:46:14 GDem3 sshd[11184]: Illegal user
user from ::ffff:211.176.33.46 Mar 23 04:46:14 GDem3 sshd[11184]: error:
Could not get shadow information for NOUSER Mar 23 04:46:26 GDem3
sshd[11201]: Illegal user test from ::ffff:211.176.33.46 Mar 23 04:46:26
GDem3 sshd[11201]: error: Could not get shadow information for NOUSER
Journal de 10h02:
Security Events
=3D-=3D-=3D-=3D-=3D-=3D-=3D-=3D
Mar 23 09:11:39 GDem3 sshd[27590]: Failed password for root from
::ffff:62.193.236.45 port 45567 ssh2 Mar 23 09:11:40 GDem3 sshd[27592]:
Failed password for root from ::ffff:62.193.236.45 port 45687 ssh2 Mar
23 09:11:41 GDem3 sshd[27594]: Failed password for root from
::ffff:62.193.236.45 port 45769 ssh2 Mar 23 09:11:42 GDem3 sshd[27596]:
Failed password for root from ::ffff:62.193.236.45 port 45851 ssh2 Mar
23 09:11:42 GDem3 sshd[27598]: Failed password for root from
::ffff:62.193.236.45 port 45936 ssh2 Mar 23 09:11:43 GDem3 sshd[27600]:
Failed password for root from ::ffff:62.193.236.45 port 46006 ssh2 Mar
23 09:11:44 GDem3 sshd[27602]: Failed password for root from
::ffff:62.193.236.45 port 46076 ssh2 Mar 23 09:11:44 GDem3 sshd[27608]:
Failed password for root from ::ffff:62.193.236.45 port 46156 ssh2
Merci --- j'étais en train de lire apk, mais là c'est plus simple. -- Jacques L'helgoualc'h
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Vincent Lefevre
On 2005-03-25 21:15:59 +0100, Jacques L'helgoualc'h wrote:
Vincent Lefevre a écrit, vendredi 25 mars 2005, à 19:40 : [...] > Pour comprendre un peu, j'ai tapé "pcapinit perl" sur Google, et > je suis tombé sur encore plus simple: > > http://www.hsc.fr/ressources/breves/secretssh.html
Merci --- j'étais en train de lire apk, mais là c'est plus simple.
Je viens de me rendre compte qu'il vaut mieux quelque chose de pas trop compliqué. Pour moi, 3 cas se présentent quand je veux me connecter d'une adresse IP non connue à l'avance (donc disons, pas whitelistée à l'origine):
* Je me connecte depuis mon PowerBook sous Linux, et j'ai tout ce qu'il faut (bon, actuellement, ce cas ne se produira pas, puisque la machine de destination est le PowerBook en question, en attendant d'avoir une autre machine sous Linux connectée en permanence chez moi).
* Je me connecte depuis mon Zaurus (en wifi): ça dépend de ce que je peux recompiler, avec les problème de dépendance. Pour le module Perl Net::RawIP, ça risque de ne pas être possible. Mais il s'agit juste du client, donc ça peut être plus simple. SecretSSH utilise le numéro de séquence TCP, et je ne sais pas si on peux manipuler ça avec les bibliothèques de base. Mais juste une séquence entre le port 22 et le port 80 doit probablement suffire... voire le port 22 seul avec un système de timeout. Je pourrais toujours vérifier dans les logs (le but est de stopper la plupart des attaques).
* Je me connecte depuis une machine qui n'est pas à moi (mais dont j'ai confiance). Là encore, il vaut mieux utiliser quelque chose de simple. Si possible, seulement le port 22 sans rien de plus, avec un système de timeout.
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On 2005-03-25 21:15:59 +0100, Jacques L'helgoualc'h wrote:
Vincent Lefevre a écrit, vendredi 25 mars 2005, à 19:40 :
[...]
> Pour comprendre un peu, j'ai tapé "pcapinit perl" sur Google, et
> je suis tombé sur encore plus simple:
>
> http://www.hsc.fr/ressources/breves/secretssh.html
Merci --- j'étais en train de lire apk, mais là c'est plus simple.
Je viens de me rendre compte qu'il vaut mieux quelque chose de pas trop
compliqué. Pour moi, 3 cas se présentent quand je veux me connecter
d'une adresse IP non connue à l'avance (donc disons, pas whitelistée
à l'origine):
* Je me connecte depuis mon PowerBook sous Linux, et j'ai tout ce qu'il
faut (bon, actuellement, ce cas ne se produira pas, puisque la machine
de destination est le PowerBook en question, en attendant d'avoir une
autre machine sous Linux connectée en permanence chez moi).
* Je me connecte depuis mon Zaurus (en wifi): ça dépend de ce que je
peux recompiler, avec les problème de dépendance. Pour le module Perl
Net::RawIP, ça risque de ne pas être possible. Mais il s'agit juste
du client, donc ça peut être plus simple. SecretSSH utilise le numéro
de séquence TCP, et je ne sais pas si on peux manipuler ça avec les
bibliothèques de base. Mais juste une séquence entre le port 22 et
le port 80 doit probablement suffire... voire le port 22 seul avec
un système de timeout. Je pourrais toujours vérifier dans les logs
(le but est de stopper la plupart des attaques).
* Je me connecte depuis une machine qui n'est pas à moi (mais dont j'ai
confiance). Là encore, il vaut mieux utiliser quelque chose de simple.
Si possible, seulement le port 22 sans rien de plus, avec un système de
timeout.
On 2005-03-25 21:15:59 +0100, Jacques L'helgoualc'h wrote:
Vincent Lefevre a écrit, vendredi 25 mars 2005, à 19:40 : [...] > Pour comprendre un peu, j'ai tapé "pcapinit perl" sur Google, et > je suis tombé sur encore plus simple: > > http://www.hsc.fr/ressources/breves/secretssh.html
Merci --- j'étais en train de lire apk, mais là c'est plus simple.
Je viens de me rendre compte qu'il vaut mieux quelque chose de pas trop compliqué. Pour moi, 3 cas se présentent quand je veux me connecter d'une adresse IP non connue à l'avance (donc disons, pas whitelistée à l'origine):
* Je me connecte depuis mon PowerBook sous Linux, et j'ai tout ce qu'il faut (bon, actuellement, ce cas ne se produira pas, puisque la machine de destination est le PowerBook en question, en attendant d'avoir une autre machine sous Linux connectée en permanence chez moi).
* Je me connecte depuis mon Zaurus (en wifi): ça dépend de ce que je peux recompiler, avec les problème de dépendance. Pour le module Perl Net::RawIP, ça risque de ne pas être possible. Mais il s'agit juste du client, donc ça peut être plus simple. SecretSSH utilise le numéro de séquence TCP, et je ne sais pas si on peux manipuler ça avec les bibliothèques de base. Mais juste une séquence entre le port 22 et le port 80 doit probablement suffire... voire le port 22 seul avec un système de timeout. Je pourrais toujours vérifier dans les logs (le but est de stopper la plupart des attaques).
* Je me connecte depuis une machine qui n'est pas à moi (mais dont j'ai confiance). Là encore, il vaut mieux utiliser quelque chose de simple. Si possible, seulement le port 22 sans rien de plus, avec un système de timeout.
