Protection contre attaque Port scan sur serveur privée Linux Amen
48 réponses
llnis
Bonjour à tous,
J'ai un serveur privée Linux chez Amen.
Amen à été contraint de suspendre brutalement mon serveur.
Ils l'annoncent compromis et à l'origine d'attaques Port scan.
Les conséquences sont énormes, car la suspension entraîne, après récupération des données théoriquement infectées, ( après isolement, le serveur à été mis en mode recovery) la réinitialisation complète du serveur, et la perte totale des configurations initiales de tous les sites hébergés (www, bdd, qmail).
De plus, même si les BDD et les Domaines sont récupérables (là encore en théorie), les comptes de messagerie, sont inexorablement perdus, et devront être reconfigurés 1 par 1 à la main. L'information à l'attention de chaque usager s'avère alors difficile à réaliser, en l'absence le plus souvent d'alias email, dans la mesure aussi, ou le MP aura fatalement été réinitialisé.
Amen argue que je suis censé organiser et protéger moi-même mon serveur de ce type d'attaques et de recherches d'intrusion, raison pour laquelle la suspension totale du serveur à été appliqué.
Aussi, auriez-vous réponses à ces questions :
Que pourrai-je installer comme application compatible, sur un serveur privée Linux d'Amen, apte à protéger celui-ci, et à me signaler en temps réel, toute intrusion potentiellle en cours ?
Comment gérer l'ouverture ou la fermeture des ports, le serveur privée d'Amen étant, dans la réalité, un serveur virtuel ?
Bof. C'est une ligne de défense supplémentaire, mais elle ne vaut pas grand chose.
Déjà le fait que root soit un login connu, ça aide. Si l'attaquant doit déjà connaître le login 837js765 de mon serveur, c'est plus délicat.
Et ssh pour moi ne s'envisage pas sans un fail2ban sévère (j'ai arrêté de jouer avec les ssh + clefs et ssh filtrés par IP parce qu'il y a toujours un jour où tu n'es pas chez toi et tu dois te connecter en toute urgence sur ta machine distante). Il vaut mieux un mot de passe complexe qui change régulièrement.
JKB
-- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr
Bof. C'est une ligne de défense supplémentaire, mais elle ne vaut pas grand
chose.
Déjà le fait que root soit un login connu, ça aide. Si l'attaquant
doit déjà connaître le login 837js765 de mon serveur, c'est plus
délicat.
Et ssh pour moi ne s'envisage pas sans un fail2ban sévère (j'ai
arrêté de jouer avec les ssh + clefs et ssh filtrés par IP parce
qu'il y a toujours un jour où tu n'es pas chez toi et tu dois te
connecter en toute urgence sur ta machine distante). Il vaut mieux
un mot de passe complexe qui change régulièrement.
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
Bof. C'est une ligne de défense supplémentaire, mais elle ne vaut pas grand chose.
Déjà le fait que root soit un login connu, ça aide. Si l'attaquant doit déjà connaître le login 837js765 de mon serveur, c'est plus délicat.
Et ssh pour moi ne s'envisage pas sans un fail2ban sévère (j'ai arrêté de jouer avec les ssh + clefs et ssh filtrés par IP parce qu'il y a toujours un jour où tu n'es pas chez toi et tu dois te connecter en toute urgence sur ta machine distante). Il vaut mieux un mot de passe complexe qui change régulièrement.
JKB
-- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr
Emmanuel Florac
Le Tue, 10 Apr 2012 23:11:56 +0200, Francois Lafont a écrit:
Juste pour ma « culture générale » (et ma curiosité), est-ce qu'il y a un souci potentiel avec une connexion ssh via un mot de passe (avec un bon mot de passe suffisamment complexe) ?
A priori non, mais seuls les paranoïaques survivent :) Même si le PC depuis lequel tu te connectes a un keylogger, un attaquant ne peut rien sans la clef.
-- L'Algérie était au bord du gouffre, aujourd'hui elle a fait un grand pas en avant. Kaid Ahmed.
Le Tue, 10 Apr 2012 23:11:56 +0200, Francois Lafont a écrit:
Juste pour ma « culture générale » (et ma curiosité), est-ce qu'il y a
un souci potentiel avec une connexion ssh via un mot de passe (avec un
bon mot de passe suffisamment complexe) ?
A priori non, mais seuls les paranoïaques survivent :) Même si le PC
depuis lequel tu te connectes a un keylogger, un attaquant ne peut rien
sans la clef.
--
L'Algérie était au bord du gouffre, aujourd'hui elle a fait un grand pas
en avant.
Kaid Ahmed.
Le Tue, 10 Apr 2012 23:11:56 +0200, Francois Lafont a écrit:
Juste pour ma « culture générale » (et ma curiosité), est-ce qu'il y a un souci potentiel avec une connexion ssh via un mot de passe (avec un bon mot de passe suffisamment complexe) ?
A priori non, mais seuls les paranoïaques survivent :) Même si le PC depuis lequel tu te connectes a un keylogger, un attaquant ne peut rien sans la clef.
-- L'Algérie était au bord du gouffre, aujourd'hui elle a fait un grand pas en avant. Kaid Ahmed.
Luc.Habert.00__arjf
Emmanuel Florac :
Même si le PC depuis lequel tu te connectes a un keylogger, un attaquant ne peut rien sans la clef.
Mais si l'attaquant peut faire tourner un keylogger sur la machine, il peut aussi récupérer les fichiers.
Emmanuel Florac :
Même si le PC depuis lequel tu te connectes a un keylogger, un attaquant
ne peut rien sans la clef.
Mais si l'attaquant peut faire tourner un keylogger sur la machine, il peut
aussi récupérer les fichiers.
Même si le PC depuis lequel tu te connectes a un keylogger, un attaquant ne peut rien sans la clef.
Mais si l'attaquant peut faire tourner un keylogger sur la machine, il peut aussi récupérer les fichiers.
Emmanuel Florac
Le Wed, 11 Apr 2012 09:18:37 +0000, JKB a écrit:
Et ssh pour moi ne s'envisage pas sans un fail2ban sévère
Bon, j'utilise ça aussi pour éviter de pourrir mes logs plus qu'autre chose: sur ma machine perso, 30 adresses bannies depuis le 8, ça fait quand même 10 tentatives de pénétration par jour... Évidemment elles n'ont aucune chance de réussir (un seul utilisateur autorisé, et seulement avec clef) mais quand même.
-- La loi, dans un grand souci d'égalité, interdit aux riches comme aux pauvres de coucher sous les ponts, de mendier dans les rues et de voler du pain. Anatole France.
Le Wed, 11 Apr 2012 09:18:37 +0000, JKB a écrit:
Et ssh pour moi ne s'envisage pas sans un fail2ban sévère
Bon, j'utilise ça aussi pour éviter de pourrir mes logs plus qu'autre
chose: sur ma machine perso, 30 adresses bannies depuis le 8, ça fait
quand même 10 tentatives de pénétration par jour... Évidemment elles
n'ont aucune chance de réussir (un seul utilisateur autorisé, et
seulement avec clef) mais quand même.
--
La loi, dans un grand souci d'égalité, interdit aux riches comme aux
pauvres de coucher sous les ponts, de mendier dans les rues et de
voler du pain.
Anatole France.
Et ssh pour moi ne s'envisage pas sans un fail2ban sévère
Bon, j'utilise ça aussi pour éviter de pourrir mes logs plus qu'autre chose: sur ma machine perso, 30 adresses bannies depuis le 8, ça fait quand même 10 tentatives de pénétration par jour... Évidemment elles n'ont aucune chance de réussir (un seul utilisateur autorisé, et seulement avec clef) mais quand même.
-- La loi, dans un grand souci d'égalité, interdit aux riches comme aux pauvres de coucher sous les ponts, de mendier dans les rues et de voler du pain. Anatole France.
Emmanuel Florac
Le Tue, 10 Apr 2012 23:19:13 +0200, denis.paris a écrit:
En même temps si c'est un serveur WEB c'est difficile de limiter l'accès en ssh uniquement...
Ben ça, évidemment :) Par contre il faut absolument fermer les ports genre mysql et autres fantaisies... Sans compter qu'avec un kit genre Apache+php+Wordpress, tu as intérêt à mettre à jour avec un soin maniaque, vu le nombre de failles cumulées.
-- L'Algérie était au bord du gouffre, aujourd'hui elle a fait un grand pas en avant. Kaid Ahmed.
Le Tue, 10 Apr 2012 23:19:13 +0200, denis.paris a écrit:
En même temps si c'est un serveur WEB c'est difficile de limiter l'accès
en ssh uniquement...
Ben ça, évidemment :) Par contre il faut absolument fermer les ports
genre mysql et autres fantaisies... Sans compter qu'avec un kit genre
Apache+php+Wordpress, tu as intérêt à mettre à jour avec un soin
maniaque, vu le nombre de failles cumulées.
--
L'Algérie était au bord du gouffre, aujourd'hui elle a fait un grand pas
en avant.
Kaid Ahmed.
Le Tue, 10 Apr 2012 23:19:13 +0200, denis.paris a écrit:
En même temps si c'est un serveur WEB c'est difficile de limiter l'accès en ssh uniquement...
Ben ça, évidemment :) Par contre il faut absolument fermer les ports genre mysql et autres fantaisies... Sans compter qu'avec un kit genre Apache+php+Wordpress, tu as intérêt à mettre à jour avec un soin maniaque, vu le nombre de failles cumulées.
-- L'Algérie était au bord du gouffre, aujourd'hui elle a fait un grand pas en avant. Kaid Ahmed.
HAAAAAA, c'est la fin du monde on va tous MOURIR.
On Wed, 11 Apr 2012 09:18:37 +0000 (UTC), JKB wrote:
Bof. C'est une ligne de défense supplémentaire, mais elle ne vaut pas grand chose.
Déjà le fait que root soit un login connu, ça aide. Si l'attaquant doit déjà connaître le login 837js765 de mon serveur, c'est plus délicat.
Quand on interdit l'acces à root en ssh, ça n'empeche pas un user d'avoir les privilèges root (sudo par exemple) ?
Et ssh pour moi ne s'envisage pas sans un fail2ban sévère
Pour le moment j'ai pas testé ssh et je me pose justement des questions. - Que pensez vous de portknocker ? - Peut on changer le mot de passe (ou le code du portknocker) régulièrement via un SMS/mail sur un portable après chaque déconnexion ?
Bof. C'est une ligne de défense supplémentaire, mais elle ne vaut pas grand
chose.
Déjà le fait que root soit un login connu, ça aide. Si l'attaquant
doit déjà connaître le login 837js765 de mon serveur, c'est plus
délicat.
Quand on interdit l'acces à root en ssh, ça n'empeche pas un user
d'avoir les privilèges root (sudo par exemple) ?
Et ssh pour moi ne s'envisage pas sans un fail2ban sévère
Pour le moment j'ai pas testé ssh et je me pose justement des questions.
- Que pensez vous de portknocker ?
- Peut on changer le mot de passe (ou le code du portknocker)
régulièrement via un SMS/mail sur un portable après chaque déconnexion ?
Bof. C'est une ligne de défense supplémentaire, mais elle ne vaut pas grand chose.
Déjà le fait que root soit un login connu, ça aide. Si l'attaquant doit déjà connaître le login 837js765 de mon serveur, c'est plus délicat.
Quand on interdit l'acces à root en ssh, ça n'empeche pas un user d'avoir les privilèges root (sudo par exemple) ?
Et ssh pour moi ne s'envisage pas sans un fail2ban sévère
Pour le moment j'ai pas testé ssh et je me pose justement des questions. - Que pensez vous de portknocker ? - Peut on changer le mot de passe (ou le code du portknocker) régulièrement via un SMS/mail sur un portable après chaque déconnexion ?
JKB
Le Wed, 11 Apr 2012 13:11:49 +0200, HAAAAAA, c'est la fin du monde on va tous MOURIR. écrivait :
On Wed, 11 Apr 2012 09:18:37 +0000 (UTC), JKB wrote:
Bof. C'est une ligne de défense supplémentaire, mais elle ne vaut pas grand chose.
Déjà le fait que root soit un login connu, ça aide. Si l'attaquant doit déjà connaître le login 837js765 de mon serveur, c'est plus délicat.
Quand on interdit l'acces à root en ssh, ça n'empeche pas un user d'avoir les privilèges root (sudo par exemple) ?
Non, ça n'interdit pas.
Donc, pourquoi interdire root en ssh si un user avec pouvoir peut faire la même chose ?
Parce que si je suis l'attaquant, connaître le nom du compte à attaquer, soit ici root, c'est déjà avoir la moitié de la solution. Alors que si je n'ai pas l'information du nom du compte, il va me falloir faire des tests sur le login et le mot de passe (et mon ssh ne te répondra jamais que le login n'existe pas).
Et ssh pour moi ne s'envisage pas sans un fail2ban sévère
Pour le moment j'ai pas testé ssh et je me pose justement des questions. - Que pensez vous de portknocker ?
C'est bien. Sauf lorsqu'on doit utiliser un accès depuis une machine tierce qui ne comprend pas facilement la manipulation.
ça c'est pas un problème. On peut creer une page en PHP avec des textbox pour y mettre des nombres et lancer le schmilblick.
C'est juste idiot puisque je peux faire une attaque en force brute dessus (sauf à avoir un .htaccess, mais on rendre dans une usine à gaz que je peux aussi essayer de dégager à coups de bulldozer). Sinon, le honeypot marche aussi pas mal.
- Peut on changer le mot de passe (ou le code du portknocker) régulièrement via un SMS/mail sur un portable après chaque déconnexion ?
On peut, mais c'est casse-gueule. Il suffit qu'il y ait un seul truc qui merdoie pour se retrouver sans accès.
ok
JKB
-- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr
Le Wed, 11 Apr 2012 18:10:07 +0200,
HAAAAAA, c'est la fin du monde on va tous MOURIR. <Yenapa@pasdemail.spam> écrivait :
Bof. C'est une ligne de défense supplémentaire, mais elle ne vaut pas grand
chose.
Déjà le fait que root soit un login connu, ça aide. Si l'attaquant
doit déjà connaître le login 837js765 de mon serveur, c'est plus
délicat.
Quand on interdit l'acces à root en ssh, ça n'empeche pas un user
d'avoir les privilèges root (sudo par exemple) ?
Non, ça n'interdit pas.
Donc, pourquoi interdire root en ssh si un user avec pouvoir peut faire
la même chose ?
Parce que si je suis l'attaquant, connaître le nom du compte à
attaquer, soit ici root, c'est déjà avoir la moitié de la solution.
Alors que si je n'ai pas l'information du nom du compte, il va me
falloir faire des tests sur le login et le mot de passe (et mon ssh
ne te répondra jamais que le login n'existe pas).
Et ssh pour moi ne s'envisage pas sans un fail2ban sévère
Pour le moment j'ai pas testé ssh et je me pose justement des questions.
- Que pensez vous de portknocker ?
C'est bien. Sauf lorsqu'on doit utiliser un accès depuis une machine
tierce qui ne comprend pas facilement la manipulation.
ça c'est pas un problème. On peut creer une page en PHP avec des textbox
pour y mettre des nombres et lancer le schmilblick.
C'est juste idiot puisque je peux faire une attaque en force brute
dessus (sauf à avoir un .htaccess, mais on rendre dans une usine à
gaz que je peux aussi essayer de dégager à coups de bulldozer). Sinon,
le honeypot marche aussi pas mal.
- Peut on changer le mot de passe (ou le code du portknocker)
régulièrement via un SMS/mail sur un portable après chaque déconnexion ?
On peut, mais c'est casse-gueule. Il suffit qu'il y ait un seul truc
qui merdoie pour se retrouver sans accès.
ok
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
Bof. C'est une ligne de défense supplémentaire, mais elle ne vaut pas grand chose.
Déjà le fait que root soit un login connu, ça aide. Si l'attaquant doit déjà connaître le login 837js765 de mon serveur, c'est plus délicat.
Quand on interdit l'acces à root en ssh, ça n'empeche pas un user d'avoir les privilèges root (sudo par exemple) ?
Non, ça n'interdit pas.
Donc, pourquoi interdire root en ssh si un user avec pouvoir peut faire la même chose ?
Parce que si je suis l'attaquant, connaître le nom du compte à attaquer, soit ici root, c'est déjà avoir la moitié de la solution. Alors que si je n'ai pas l'information du nom du compte, il va me falloir faire des tests sur le login et le mot de passe (et mon ssh ne te répondra jamais que le login n'existe pas).
Et ssh pour moi ne s'envisage pas sans un fail2ban sévère
Pour le moment j'ai pas testé ssh et je me pose justement des questions. - Que pensez vous de portknocker ?
C'est bien. Sauf lorsqu'on doit utiliser un accès depuis une machine tierce qui ne comprend pas facilement la manipulation.
ça c'est pas un problème. On peut creer une page en PHP avec des textbox pour y mettre des nombres et lancer le schmilblick.
C'est juste idiot puisque je peux faire une attaque en force brute dessus (sauf à avoir un .htaccess, mais on rendre dans une usine à gaz que je peux aussi essayer de dégager à coups de bulldozer). Sinon, le honeypot marche aussi pas mal.
- Peut on changer le mot de passe (ou le code du portknocker) régulièrement via un SMS/mail sur un portable après chaque déconnexion ?
On peut, mais c'est casse-gueule. Il suffit qu'il y ait un seul truc qui merdoie pour se retrouver sans accès.
ok
JKB
-- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr
