Pare-feu : ouverture de ports à reception d'un mail
15 réponses
Patrice OLIVER
Bonjour,
Utilisant Denyhost depuis d=E9cembre, j'observe que ces temps-ci les
attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise
a =E9t=E9 attaqu=E9 302 fois cette nuit ...
Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de
messagerie re=E7oit un mail.
Avez-vous d=E9j=E0 mis cela en oeuvre ?
Merci.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le 9 juillet 2008 10:39, Nicolas KOWALSKI a écri t :
On Wed, Jul 09, 2008 at 10:30:58AM +0200, Patrice OLIVER wrote:
Je n'utilise pas fail2ban car j'utilise SSH avec 2 sociétés pour ma maintenance. Si SSH est fermé, ils ne peuvent pas intervenir ...
fail2ban interdit les connexions provenant d'une machine distante uniquement si cette dernière fait plusieurs tentatives de connexion *infructueuses* en un certain laps de temps. Au bout de quelques minutes (10 par défaut je crois), les connexions provenant de cette machine seront de nouveau autorisées.
En d'autres termes, si les deux sociétés de maintenance ne font pas bêtises à la connexion (login/pass corrects), elles ne seront jamais bloquées, y compris si au même moment il y a une attaque provenant de quelqu'un d'autre.
-- Nicolas
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact .org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Ok Nicolas, marci.
Le 9 juillet 2008 10:39, Nicolas KOWALSKI <niko@petole.dyndns.org> a écri t :
On Wed, Jul 09, 2008 at 10:30:58AM +0200, Patrice OLIVER wrote:
Je n'utilise pas fail2ban car j'utilise SSH avec 2 sociétés pour ma maintenance.
Si SSH est fermé, ils ne peuvent pas intervenir ...
fail2ban interdit les connexions provenant d'une machine distante
uniquement si cette dernière fait plusieurs tentatives de connexion
*infructueuses* en un certain laps de temps. Au bout de quelques minutes
(10 par défaut je crois), les connexions provenant de cette
machine seront de nouveau autorisées.
En d'autres termes, si les deux sociétés de maintenance ne font pas
bêtises à la connexion (login/pass corrects), elles ne seront jamais
bloquées, y compris si au même moment il y a une attaque provenant de
quelqu'un d'autre.
--
Nicolas
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian .org
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le 9 juillet 2008 10:39, Nicolas KOWALSKI a écri t :
On Wed, Jul 09, 2008 at 10:30:58AM +0200, Patrice OLIVER wrote:
Je n'utilise pas fail2ban car j'utilise SSH avec 2 sociétés pour ma maintenance. Si SSH est fermé, ils ne peuvent pas intervenir ...
fail2ban interdit les connexions provenant d'une machine distante uniquement si cette dernière fait plusieurs tentatives de connexion *infructueuses* en un certain laps de temps. Au bout de quelques minutes (10 par défaut je crois), les connexions provenant de cette machine seront de nouveau autorisées.
En d'autres termes, si les deux sociétés de maintenance ne font pas bêtises à la connexion (login/pass corrects), elles ne seront jamais bloquées, y compris si au même moment il y a une attaque provenant de quelqu'un d'autre.
-- Nicolas
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact .org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Thibaut LE LEVIER
Patrice OLIVER wrote:
Je ne penses pas que cela empêchera les attaques / scans de ports.
En configurant une authentification "uniquement par clé" ça reste relativement efficasse, pas de clé privée présentée=connection refusée
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Patrice OLIVER wrote:
Je ne penses pas que cela empêchera les attaques / scans de ports.
En configurant une authentification "uniquement par clé" ça reste
relativement efficasse, pas de clé privée présentée=connection refusée
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Je ne penses pas que cela empêchera les attaques / scans de ports.
En configurant une authentification "uniquement par clé" ça reste relativement efficasse, pas de clé privée présentée=connection refusée
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jean Baptiste FAVRE
Bonsoir, Toutes mes excuses à Edi qui a reçu le mail en privé :-(
Dans le filon portknocking, il existe une solution hyper-light: netfilter. Je l'utilise avec bonheur sur ma machine: http://www.jbfavre.org/publications/portknocking
Bonne soirée, JB
Edi Stojicevic a écrit :
* Jeremy Garrouste [2008-07-09 09:26:09 +0200] wrote :
On Wed, Jul 9, 2008 at 9:15 AM, Patrice OLIVER wrote:
Bonjour,
Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise a été attaqué 302 fois cette nuit ... Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de messagerie reçoit un mail. Avez-vous déjà mis cela en oeuvre ?
Merci.
Bonjour,
Ce que tu cherches a faire s'appelle du "portknoking". http://www.giac.org/certified_professionals/practicals/gsec/4122.php
A bientot
Il existe le package knockd qui est relativement simple a mettre en place et qui permet apes une sequence donnee de connexions sur differents ports d'ouvrir le port ssh pour X minutes.
@+
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bonsoir,
Toutes mes excuses à Edi qui a reçu le mail en privé :-(
Dans le filon portknocking, il existe une solution hyper-light: netfilter.
Je l'utilise avec bonheur sur ma machine:
http://www.jbfavre.org/publications/portknocking
Bonne soirée,
JB
Edi Stojicevic a écrit :
* Jeremy Garrouste <jeremy.garrouste@gmail.com> [2008-07-09 09:26:09 +0200] wrote :
On Wed, Jul 9, 2008 at 9:15 AM, Patrice OLIVER <oliverp21@gmail.com> wrote:
Bonjour,
Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les
attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise
a été attaqué 302 fois cette nuit ...
Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de
messagerie reçoit un mail.
Avez-vous déjà mis cela en oeuvre ?
Merci.
<listmaster@lists.debian.org>
Bonjour,
Ce que tu cherches a faire s'appelle du "portknoking".
http://www.giac.org/certified_professionals/practicals/gsec/4122.php
A bientot
Il existe le package knockd qui est relativement simple a mettre en
place et qui permet apes une sequence donnee de connexions sur
differents ports d'ouvrir le port ssh pour X minutes.
@+
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Bonsoir, Toutes mes excuses à Edi qui a reçu le mail en privé :-(
Dans le filon portknocking, il existe une solution hyper-light: netfilter. Je l'utilise avec bonheur sur ma machine: http://www.jbfavre.org/publications/portknocking
Bonne soirée, JB
Edi Stojicevic a écrit :
* Jeremy Garrouste [2008-07-09 09:26:09 +0200] wrote :
On Wed, Jul 9, 2008 at 9:15 AM, Patrice OLIVER wrote:
Bonjour,
Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise a été attaqué 302 fois cette nuit ... Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de messagerie reçoit un mail. Avez-vous déjà mis cela en oeuvre ?
Merci.
Bonjour,
Ce que tu cherches a faire s'appelle du "portknoking". http://www.giac.org/certified_professionals/practicals/gsec/4122.php
A bientot
Il existe le package knockd qui est relativement simple a mettre en place et qui permet apes une sequence donnee de connexions sur differents ports d'ouvrir le port ssh pour X minutes.
@+
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
fabrice régnier
salut,
Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de messagerie reçoit un mail. Avez-vous déjà mis cela en oeuvre ?
oui. Pour ma part, c'est du portknoking maison:
phase 1: :~$ echo | mail -s "ouvrir ssh"
phase2: sur le serveur de mail, j'intercepte tout ce qui est envoyé au destinataire robot et je lui applique le script suivant:
# on stocke le mail qui nous arrive par le stdin dans un fichier temporaire mail=`mktemp -t robot.XXXXXX`
if [ -n "`grep '^Subject: ouvrir ssh' $mail`" -o "$extension" = "openssh" ]; then echo "$logprefix ouvre le ssh" >> $logfile echo "sshd: ALL" >> /etc/hosts.allow elif [ -n "`grep '^Subject: fermer ssh' $mail`" -o "$extension" = "closessh" ]; then echo "$logprefix `id` ferme le ssh" >> $logfile temp=`mktemp -t robot-sed.XXXXXX` sed "s/sshd: ALL//g" /etc/hosts.allow > $temp && cat $temp > /etc/hosts.allow && rm $temp fi
En gros, quand je reçois "ouvrir ssh", je met sshd:ALL dans /etc/hosts.allow Et quand je reçois "fermer ssh", je vire sshd:ALL de /etc/hosts.allow
phase3: :~$ ssh -p 2201
Et voilà, si ça peut aider. C'est ce que j'utilise depuis 6 ans.
Merci.
de rien ;)
f.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
salut,
Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de
messagerie reçoit un mail.
Avez-vous déjà mis cela en oeuvre ?
oui. Pour ma part, c'est du portknoking maison:
phase 1:
fabricer@FR-PORT:~$ echo | mail -s "ouvrir ssh" robot@mon.domaine.fr
phase2:
sur le serveur de mail, j'intercepte tout ce qui est envoyé au
destinataire robot et je lui applique le script suivant:
# on stocke le mail qui nous arrive par le stdin dans un fichier temporaire
mail=`mktemp -t robot.XXXXXX`
Et voilà, si ça peut aider. C'est ce que j'utilise depuis 6 ans.
Merci.
de rien ;)
f.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
if [ -n "`grep '^Subject: ouvrir ssh' $mail`" -o "$extension" = "openssh" ]; then echo "$logprefix ouvre le ssh" >> $logfile echo "sshd: ALL" >> /etc/hosts.allow elif [ -n "`grep '^Subject: fermer ssh' $mail`" -o "$extension" = "closessh" ]; then echo "$logprefix `id` ferme le ssh" >> $logfile temp=`mktemp -t robot-sed.XXXXXX` sed "s/sshd: ALL//g" /etc/hosts.allow > $temp && cat $temp > /etc/hosts.allow && rm $temp fi
En gros, quand je reçois "ouvrir ssh", je met sshd:ALL dans /etc/hosts.allow Et quand je reçois "fermer ssh", je vire sshd:ALL de /etc/hosts.allow
phase3: :~$ ssh -p 2201
Et voilà, si ça peut aider. C'est ce que j'utilise depuis 6 ans.
Merci.
de rien ;)
f.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
mouss
Patrice OLIVER wrote:
Bonjour,
Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise a été attaqué 302 fois cette nuit ...
ce que je fais: - j'active deux ports dans sshd_config. 22 et un autre - le port 22 est uniquement accessible de certaines IP (firewall) - l'autre port est accessible d'ailleurs
Même si un scan peut detecter le second port, ça élimine déjà les robots qui vont directement sur le port 22.
Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de messagerie reçoit un mail. Avez-vous déjà mis cela en oeuvre ?
pourquoi par mail? un mail peut mettre du temps à arriver. http sur un port prédéfini est déjà mieux. mais comme cela a déjà été dit, regarde du coté des "frappeurs de porte"...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Patrice OLIVER wrote:
Bonjour,
Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les
attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise
a été attaqué 302 fois cette nuit ...
ce que je fais:
- j'active deux ports dans sshd_config. 22 et un autre
- le port 22 est uniquement accessible de certaines IP (firewall)
- l'autre port est accessible d'ailleurs
Même si un scan peut detecter le second port, ça élimine déjà les robots
qui vont directement sur le port 22.
Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de
messagerie reçoit un mail.
Avez-vous déjà mis cela en oeuvre ?
pourquoi par mail? un mail peut mettre du temps à arriver. http sur un
port prédéfini est déjà mieux. mais comme cela a déjà été dit, regarde
du coté des "frappeurs de porte"...
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Utilisant Denyhost depuis décembre, j'observe que ces temps-ci les attaques SSH vont bon train. Pour info, le pare-feu de mon entreprise a été attaqué 302 fois cette nuit ...
ce que je fais: - j'active deux ports dans sshd_config. 22 et un autre - le port 22 est uniquement accessible de certaines IP (firewall) - l'autre port est accessible d'ailleurs
Même si un scan peut detecter le second port, ça élimine déjà les robots qui vont directement sur le port 22.
Je souhaite donc fermer le port SSH, et l'ouvrir quand mon relais de messagerie reçoit un mail. Avez-vous déjà mis cela en oeuvre ?
pourquoi par mail? un mail peut mettre du temps à arriver. http sur un port prédéfini est déjà mieux. mais comme cela a déjà été dit, regarde du coté des "frappeurs de porte"...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact