J'aurais voulu savoir pourquoi il est fortement déconseillé de laisser
l'utilisateur root se connecter en ssh alors que la directive
PermitRootLogin no
du sshd_config n'empêche pas une fois loggé en utilisateur normal de
passer en root avec la commande su. Je comprends bien que c'est plus
difficile d'obtenir les droits root puisqu'il faut 2 mots de passe, mais
j'aurais voulu savoir s'il y a d'autres raisons.
In article <d3h0f2$15rr$, Nicolas George <nicolas$ wrote:
patpro ~ patrick proniewski wrote in message :
parce que tu pourrais toujours être en train de te loguer sur une machine qui n'est pas la bonne, mais celle d'un pirate (attaque du genre man in the middle). Et ainsi lui transmettre le mot de passe de root.
Non, ça ne marche pas : dès lors que c'est une machine à laquelle on s'est déjà connecté au moins une fois, ou dont on a récupéré le fingerprint de manière fiable, on a ceci :
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
je sais bien, mais si c'est ta première connexion, et que l'admin ne t'as pas donné le finger print par ailleurs, tu fais comment ? :) Autre cas, le méchant fait du social engineering : il se fait passer pour l'admin et te poste le "nouveau finger print du serveur car il vient de changer", et hop.
patpro
In article <d3h0f2$15rr$1@biggoron.nerim.net>,
Nicolas George <nicolas$george@salle-s.org> wrote:
patpro ~ patrick proniewski wrote in message
<patpro-8B5C91.19111612042005@news2-e.proxad.net>:
parce que tu pourrais toujours être en train de te loguer sur une
machine qui n'est pas la bonne, mais celle d'un pirate (attaque du genre
man in the middle). Et ainsi lui transmettre le mot de passe de root.
Non, ça ne marche pas : dès lors que c'est une machine à laquelle on s'est
déjà connecté au moins une fois, ou dont on a récupéré le fingerprint de
manière fiable, on a ceci :
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
je sais bien, mais si c'est ta première connexion, et que l'admin ne
t'as pas donné le finger print par ailleurs, tu fais comment ? :)
Autre cas, le méchant fait du social engineering : il se fait passer
pour l'admin et te poste le "nouveau finger print du serveur car il
vient de changer", et hop.
In article <d3h0f2$15rr$, Nicolas George <nicolas$ wrote:
patpro ~ patrick proniewski wrote in message :
parce que tu pourrais toujours être en train de te loguer sur une machine qui n'est pas la bonne, mais celle d'un pirate (attaque du genre man in the middle). Et ainsi lui transmettre le mot de passe de root.
Non, ça ne marche pas : dès lors que c'est une machine à laquelle on s'est déjà connecté au moins une fois, ou dont on a récupéré le fingerprint de manière fiable, on a ceci :
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
je sais bien, mais si c'est ta première connexion, et que l'admin ne t'as pas donné le finger print par ailleurs, tu fais comment ? :) Autre cas, le méchant fait du social engineering : il se fait passer pour l'admin et te poste le "nouveau finger print du serveur car il vient de changer", et hop.
patpro
patpro ~ Patrick Proniewski
In article , Stephane Catteau wrote:
patpro ~ patrick proniewski nous disait récement dans fr.comp.securite <news: :
parce que tu pourrais toujours être en train de te loguer sur une machine qui n'est pas la bonne, mais celle d'un pirate (attaque du genre man in the middle). Et ainsi lui transmettre le mot de passe de root. [...]
Je suis sceptique là, puisque ton affirmation n'est valable que si sshd est configuré pour accepter l'authentification par le biais de login. Or, d'une part ce n'est en soit pas la plus sûre des configurations, mais en plus si je ne m'abuse, "PermitRootLogin no" t'empèchera aussi de te logger sous root même si la clé publique que tu utilises est valide pour ce compte.
heu, on était pas en train d'expliquer les raisons du "PermitRootLogin no" ? ou alors j'ai mal lu...
Bien évidemment, dans le cas d'une connexion par clé cela change la donne.
patpro
In article <d3h84n.3vv113l.1@sc4x.org>,
Stephane Catteau <steph.nospam@sc4x.net> wrote:
patpro ~ patrick proniewski nous disait récement dans
fr.comp.securite
<news:patpro-8B5C91.19111612042005@news2-e.proxad.net> :
parce que tu pourrais toujours être en train de te loguer sur une
machine qui n'est pas la bonne, mais celle d'un pirate (attaque du
genre man in the middle). Et ainsi lui transmettre le mot de passe
de root. [...]
Je suis sceptique là, puisque ton affirmation n'est valable que si
sshd est configuré pour accepter l'authentification par le biais de
login. Or, d'une part ce n'est en soit pas la plus sûre des
configurations, mais en plus si je ne m'abuse, "PermitRootLogin no"
t'empèchera aussi de te logger sous root même si la clé publique que tu
utilises est valide pour ce compte.
heu, on était pas en train d'expliquer les raisons du "PermitRootLogin
no" ? ou alors j'ai mal lu...
Bien évidemment, dans le cas d'une connexion par clé cela change la
donne.
patpro ~ patrick proniewski nous disait récement dans fr.comp.securite <news: :
parce que tu pourrais toujours être en train de te loguer sur une machine qui n'est pas la bonne, mais celle d'un pirate (attaque du genre man in the middle). Et ainsi lui transmettre le mot de passe de root. [...]
Je suis sceptique là, puisque ton affirmation n'est valable que si sshd est configuré pour accepter l'authentification par le biais de login. Or, d'une part ce n'est en soit pas la plus sûre des configurations, mais en plus si je ne m'abuse, "PermitRootLogin no" t'empèchera aussi de te logger sous root même si la clé publique que tu utilises est valide pour ce compte.
heu, on était pas en train d'expliquer les raisons du "PermitRootLogin no" ? ou alors j'ai mal lu...
Bien évidemment, dans le cas d'une connexion par clé cela change la donne.
patpro
Jacques Caron
Salut,
On 13 Apr 2005 08:25:13 GMT, NonSenZ wrote:
Donc si seul l'administrateur a accès à la machine (en local et à distance), ça n'a aucun intérêt. Ca se tient mais ça en fout un coup aux sacro-saintes règles de sécurité que j'ai pu lire sur le web et qui prétendent qu'il est absolument impératif de ne pas permettre de connexion root par ssh (sans argumentation cela va de soi) :-).
A la base, il est déjà fortement déconseillé de se connecter directement en root, quel que soit le mode de connexion (aussi bien en ssh qu'en direct sur la console), simplement parce que c'est "dangereux", et que l'expérience montre que ce sont surtout les moins expérimentés qui font ce genre de choses, et qui sont les plus aptes à faire des conneries :-) Il y a des raisons supplémentaires dans le cas des connexions distantes, mais il ne faut pas oublier les règles de base...
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Salut,
On 13 Apr 2005 08:25:13 GMT, NonSenZ <anthonyatnonsenzdotorg@xxx.com>
wrote:
Donc si seul l'administrateur a accès à la machine (en local et à
distance), ça n'a aucun intérêt. Ca se tient mais ça en fout un coup aux
sacro-saintes règles de sécurité que j'ai pu lire sur le web et qui
prétendent qu'il est absolument impératif de ne pas permettre de
connexion root par ssh (sans argumentation cela va de soi) :-).
A la base, il est déjà fortement déconseillé de se connecter directement
en root, quel que soit le mode de connexion (aussi bien en ssh qu'en
direct sur la console), simplement parce que c'est "dangereux", et que
l'expérience montre que ce sont surtout les moins expérimentés qui font ce
genre de choses, et qui sont les plus aptes à faire des conneries :-) Il y
a des raisons supplémentaires dans le cas des connexions distantes, mais
il ne faut pas oublier les règles de base...
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
Donc si seul l'administrateur a accès à la machine (en local et à distance), ça n'a aucun intérêt. Ca se tient mais ça en fout un coup aux sacro-saintes règles de sécurité que j'ai pu lire sur le web et qui prétendent qu'il est absolument impératif de ne pas permettre de connexion root par ssh (sans argumentation cela va de soi) :-).
A la base, il est déjà fortement déconseillé de se connecter directement en root, quel que soit le mode de connexion (aussi bien en ssh qu'en direct sur la console), simplement parce que c'est "dangereux", et que l'expérience montre que ce sont surtout les moins expérimentés qui font ce genre de choses, et qui sont les plus aptes à faire des conneries :-) Il y a des raisons supplémentaires dans le cas des connexions distantes, mais il ne faut pas oublier les règles de base...
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Fabien LE LEZ
On 13 Apr 2005 08:25:13 GMT, NonSenZ :
prétendent qu'il est absolument impératif
Il faut toujours te méfier des règles absolues, surtout s'il n'y a pas d'argumentation à côté pour préciser le contexte.
-- ;-)
On 13 Apr 2005 08:25:13 GMT, NonSenZ <anthonyatnonsenzdotorg@xxx.com>:
prétendent qu'il est absolument impératif
Il faut toujours te méfier des règles absolues, surtout s'il n'y a pas
d'argumentation à côté pour préciser le contexte.
Il faut toujours te méfier des règles absolues, surtout s'il n'y a pas d'argumentation à côté pour préciser le contexte.
-- ;-)
Fabien LE LEZ
On 13 Apr 2005 08:25:13 GMT, patpro ~ Patrick Proniewski :
Autre cas, le méchant fait du social engineering : il se fait passer pour l'admin et te poste le "nouveau finger print du serveur car il vient de changer", et hop.
Normalement, si tu as le mot de passe root, le seul admin qui devrait avoir le droit de changer le fingerprint, c'est toi. Mais bon, c'est vrai que ça peut marcher, surtout un lundi matin...
-- ;-)
On 13 Apr 2005 08:25:13 GMT, patpro ~ Patrick Proniewski
<patpro@boleskine.patpro.net>:
Autre cas, le méchant fait du social engineering : il se fait passer
pour l'admin et te poste le "nouveau finger print du serveur car il
vient de changer", et hop.
Normalement, si tu as le mot de passe root, le seul admin qui devrait
avoir le droit de changer le fingerprint, c'est toi.
Mais bon, c'est vrai que ça peut marcher, surtout un lundi matin...
On 13 Apr 2005 08:25:13 GMT, patpro ~ Patrick Proniewski :
Autre cas, le méchant fait du social engineering : il se fait passer pour l'admin et te poste le "nouveau finger print du serveur car il vient de changer", et hop.
Normalement, si tu as le mot de passe root, le seul admin qui devrait avoir le droit de changer le fingerprint, c'est toi. Mais bon, c'est vrai que ça peut marcher, surtout un lundi matin...
-- ;-)
Yannick Patois
NonSenZ wrote:
VANHULLEBUS Yvan disait...
D'abord parceque sur un systeme ters propre et tres bien configure, tu ne feras pas "su", mais "sudo commande". En revanche, votre remarque sur l'identifiant root trivial est plus
convaincante. Cela revient à dire, comme je le supposais, qu'on cherche juste à compliquer l'attaque par force brute, et qu'il n'y aurait pas d'autre raison...
Personellement, c'est ainsi que je le comprends. Et on peut voir que ca a un sens: # grep "User root not allowed" /var/log/auth.log | wc -l 531 Plus de 500 tentatives en moins d'une semaine...
En ce qui concerne le défaut à "yes", il me parait nécéssaire. En effet, après une installation distante, il est fort possible que le seul compte existant soit le compte root. Et s'il peut pas se logguer, y'a comme un probleme. Bien sur, une fois loggué, il change ca de suite :)
Yannick
-- _/ Yannick Patois ___________________________________________________ | web: http://feelingsurfer.net/garp/ | Garp sur irc undernet | | email: | | | AAV du 29 mai: Je vote [NON]: http://perso.wanadoo.fr/non-merci/ |
NonSenZ wrote:
VANHULLEBUS Yvan disait...
D'abord parceque sur un systeme ters propre et tres bien configure, tu
ne feras pas "su", mais "sudo commande".
En revanche, votre remarque sur l'identifiant root trivial est plus
convaincante. Cela revient à dire, comme je le supposais, qu'on cherche
juste à compliquer l'attaque par force brute, et qu'il n'y aurait pas
d'autre raison...
Personellement, c'est ainsi que je le comprends.
Et on peut voir que ca a un sens:
# grep "User root not allowed" /var/log/auth.log | wc -l
531
Plus de 500 tentatives en moins d'une semaine...
En ce qui concerne le défaut à "yes", il me parait nécéssaire. En effet,
après une installation distante, il est fort possible que le seul compte
existant soit le compte root. Et s'il peut pas se logguer, y'a comme un
probleme. Bien sur, une fois loggué, il change ca de suite :)
Yannick
--
_/ Yannick Patois ___________________________________________________
| web: http://feelingsurfer.net/garp/ | Garp sur irc undernet |
| email: patois@calvix.org | |
| AAV du 29 mai: Je vote [NON]: http://perso.wanadoo.fr/non-merci/ |
D'abord parceque sur un systeme ters propre et tres bien configure, tu ne feras pas "su", mais "sudo commande". En revanche, votre remarque sur l'identifiant root trivial est plus
convaincante. Cela revient à dire, comme je le supposais, qu'on cherche juste à compliquer l'attaque par force brute, et qu'il n'y aurait pas d'autre raison...
Personellement, c'est ainsi que je le comprends. Et on peut voir que ca a un sens: # grep "User root not allowed" /var/log/auth.log | wc -l 531 Plus de 500 tentatives en moins d'une semaine...
En ce qui concerne le défaut à "yes", il me parait nécéssaire. En effet, après une installation distante, il est fort possible que le seul compte existant soit le compte root. Et s'il peut pas se logguer, y'a comme un probleme. Bien sur, une fois loggué, il change ca de suite :)
Yannick
-- _/ Yannick Patois ___________________________________________________ | web: http://feelingsurfer.net/garp/ | Garp sur irc undernet | | email: | | | AAV du 29 mai: Je vote [NON]: http://perso.wanadoo.fr/non-merci/ |
Laurent Blume
NonSenZ wrote:
Donc si seul l'administrateur a accès à la machine (en local et à distance), ça n'a aucun intérêt. Ca se tient mais ça en fout un coup aux sacro-saintes règles de sécurité que j'ai pu lire sur le web et qui prétendent qu'il est absolument impératif de ne pas permettre de connexion root par ssh (sans argumentation cela va de soi) :-).
Il est tout de même bien pratique de pouvoir se connecter en root à distance pour pouvoir lancer, par exemple, des sauvegardes automatisées. C'est d'ailleurs l'exemple donné dans le man. Il y a des restrictions, bien sûr, ça ne se fait pas n'importe comment, mais ça montre bien qu'il ne s'agit pas d'une règle /absolue/.
Laurent
NonSenZ wrote:
Donc si seul l'administrateur a accès à la machine (en local et à
distance), ça n'a aucun intérêt. Ca se tient mais ça en fout un coup aux
sacro-saintes règles de sécurité que j'ai pu lire sur le web et qui
prétendent qu'il est absolument impératif de ne pas permettre de
connexion root par ssh (sans argumentation cela va de soi) :-).
Il est tout de même bien pratique de pouvoir se connecter en root à distance
pour pouvoir lancer, par exemple, des sauvegardes automatisées.
C'est d'ailleurs l'exemple donné dans le man.
Il y a des restrictions, bien sûr, ça ne se fait pas n'importe comment, mais ça
montre bien qu'il ne s'agit pas d'une règle /absolue/.
Donc si seul l'administrateur a accès à la machine (en local et à distance), ça n'a aucun intérêt. Ca se tient mais ça en fout un coup aux sacro-saintes règles de sécurité que j'ai pu lire sur le web et qui prétendent qu'il est absolument impératif de ne pas permettre de connexion root par ssh (sans argumentation cela va de soi) :-).
Il est tout de même bien pratique de pouvoir se connecter en root à distance pour pouvoir lancer, par exemple, des sauvegardes automatisées. C'est d'ailleurs l'exemple donné dans le man. Il y a des restrictions, bien sûr, ça ne se fait pas n'importe comment, mais ça montre bien qu'il ne s'agit pas d'une règle /absolue/.
Laurent
MLC
VANHULLEBUS Yvan wrote:
D'abord parceque sur un systeme ters propre et tres bien configure, tu ne feras pas "su", mais "sudo commande".
A mon avis, il est préférable de ne pas trop faire confiance à "sudo" ! En effet, cette commande peut -être aussi dangereuse que "su". Que dire de "sudo su root" ?
Même si l'on peut spécifier les commandes à interdire dans le fichier sudoers rien n'empêche justement de renommer ces commandes !
Marc
VANHULLEBUS Yvan wrote:
D'abord parceque sur un systeme ters propre et tres bien configure, tu
ne feras pas "su", mais "sudo commande".
A mon avis, il est préférable de ne pas trop faire confiance à "sudo" !
En effet, cette commande peut -être aussi dangereuse que "su". Que dire
de "sudo su root" ?
Même si l'on peut spécifier les commandes à interdire dans le fichier
sudoers rien n'empêche justement de renommer ces commandes !
D'abord parceque sur un systeme ters propre et tres bien configure, tu ne feras pas "su", mais "sudo commande".
A mon avis, il est préférable de ne pas trop faire confiance à "sudo" ! En effet, cette commande peut -être aussi dangereuse que "su". Que dire de "sudo su root" ?
Même si l'on peut spécifier les commandes à interdire dans le fichier sudoers rien n'empêche justement de renommer ces commandes !
Marc
Laurent Blume
Yannick Patois wrote:
Personellement, c'est ainsi que je le comprends. Et on peut voir que ca a un sens: # grep "User root not allowed" /var/log/auth.log | wc -l 531 Plus de 500 tentatives en moins d'une semaine...
Si on part par là, il n'y a pas que root qui soit brute-forcé régulièrement.
Voici un extrait de mes logs récents (sur une semaine). Plus de 500 logins *différents*! Reconnaissez-vous le vôtre?
123 123456 Administrator DBA acct adele admin administrator agathe agnes alain albert alex alexandre ali alice alphonse amandine amelie andre anne anonymous antoine apache aria ariane aristide armand armel arthur aubert aubry aude audrey aurelie autobuild axel aymar aymard aymeric azerty backup bailly baptiste barnabe barnard baron barthelemy basile basse baudouin beethoven benedicte benjamin benoit berger bernadette bernard beryl bitchx blanchard bob bonnet boris boss boucher boulanger bourgeois boyer brice brun brunet bruno build cacti camille canna carine carl carole caroline caron carpentier casimir cassis cco cecile celine ceo cervantes chantal charles charpentier chemin chloe christine cisco claire classique claude claudine clemence clement client clotilde cmaker collet conf confidential cordier corentin craft cricket cvs cvsadmin cyril cyrille damien daniel data dave david db dba debug delphine demo demo1 demos denis denise dhcpd didier dimitri dns dominique download dubois dufour dumas dumont dupond dupont dupuy durand during duval edouard elisabeth emeline emile emilie emmanuel emmanuelle eng eric erwan estelle etienne eugenie evrard extra extranet eymard ezsetup fabre fabrice faure fax felicie ferreira firewall fleury florent florentin florian fontaine forum forums franck francois frederic frontpage ftp fw gabriel gaim garcia garnier gaston gate gauthier gdm genevieve george georges gerald gerard geraud germaine gertrude ghislain gilbert gildas gillet gisele gnats gonzalez gregoire gregory guest guest1 guillo guy gw harold harvey hassan helene henri henry herbert hermann hermes hippolyte honore httpd hugo humbert icq idemo ident igor ims ines inetmail informix ingrid intel intra intranet ipaq ipsec ircd irenee jacqueline jacquet java jean jean-baptiste jean-marc jean-marie jean-michel jean-pierre jean-yves jeanne jeremie jeremy jerome jessica jimmy joel john johnny jose joseph joshua judith julian julie julien julienne juliette junkbust justin justine kamel karim karima lacroix laetitia lambda laurence ldap lea lecler leclercq lecomte lefebvre lefevre legrand leroux leveque library lisa list logs loic louis lpadm lpd luc lucas lucent lucie lucien lydie mailman mailnull mailsrv majordom manager marc marcel marchand marina marion martin masson master mathias maurice mbox mdom mehdi mercier meunier meyer michel michelle mickael monique monitor moreau morin moulin msql nabil nancy ness nestor net netdump netgear netsaint netscreen netxpert news nfsnobody nicole noel nortel not ns ntop ntpd ntpdate odile oinstall oracle oss paris partners pascal pass password patch patrice patricia patrol paul pauline peggy pereira perez peter petit philip philippe phpbb picard poirier polly pop postfix postgres postgresql postmaster poulain ppp prevost pvm quentin qwerty rachid radius radiusd radvd raphael raymond recovery regis renard rene rey robert roche rodriguez rolland romain roussel router roux rpc rpcuser rpm rsync sabine sabrina samba samir sanchez scanlogd schmitt seb sebastien secret services servlet sesame simon smb smbclient sms smtp snort source sources spam spamd spool squid ssh sshd steeve stephane steven storage store stunnel supervisor supports suzanne switch sylvie sync teacher tech tele telnet telnetd test test1 thibault thomas tickets titi toto tristan tutu upload user valerie vasseur vcsa veronique vianney vincent vivien vpn vscan w3 watch webalizer webdata weblogic webmaster website william wnn www-admin www-data wwwadmin wwwrun xaviere xfs yannick yoann yohan yves yvette zope
Yannick Patois wrote:
Personellement, c'est ainsi que je le comprends.
Et on peut voir que ca a un sens:
# grep "User root not allowed" /var/log/auth.log | wc -l
531
Plus de 500 tentatives en moins d'une semaine...
Si on part par là, il n'y a pas que root qui soit brute-forcé régulièrement.
Voici un extrait de mes logs récents (sur une semaine). Plus de 500 logins
*différents*! Reconnaissez-vous le vôtre?
123
123456
Administrator
DBA
acct
adele
admin
administrator
agathe
agnes
alain
albert
alex
alexandre
ali
alice
alphonse
amandine
amelie
andre
anne
anonymous
antoine
apache
aria
ariane
aristide
armand
armel
arthur
aubert
aubry
aude
audrey
aurelie
autobuild
axel
aymar
aymard
aymeric
azerty
backup
bailly
baptiste
barnabe
barnard
baron
barthelemy
basile
basse
baudouin
beethoven
benedicte
benjamin
benoit
berger
bernadette
bernard
beryl
bitchx
blanchard
bob
bonnet
boris
boss
boucher
boulanger
bourgeois
boyer
brice
brun
brunet
bruno
build
cacti
camille
canna
carine
carl
carole
caroline
caron
carpentier
casimir
cassis
cco
cecile
celine
ceo
cervantes
chantal
charles
charpentier
chemin
chloe
christine
cisco
claire
classique
claude
claudine
clemence
clement
client
clotilde
cmaker
collet
conf
confidential
cordier
corentin
craft
cricket
cvs
cvsadmin
cyril
cyrille
damien
daniel
data
dave
david
db
dba
debug
delphine
demo
demo1
demos
denis
denise
dhcpd
didier
dimitri
dns
dominique
download
dubois
dufour
dumas
dumont
dupond
dupont
dupuy
durand
during
duval
edouard
elisabeth
emeline
emile
emilie
emmanuel
emmanuelle
eng
eric
erwan
estelle
etienne
eugenie
evrard
extra
extranet
eymard
ezsetup
fabre
fabrice
faure
fax
felicie
ferreira
firewall
fleury
florent
florentin
florian
fontaine
forum
forums
franck
francois
frederic
frontpage
ftp
fw
gabriel
gaim
garcia
garnier
gaston
gate
gauthier
gdm
genevieve
george
georges
gerald
gerard
geraud
germaine
gertrude
ghislain
gilbert
gildas
gillet
gisele
gnats
gonzalez
gregoire
gregory
guest
guest1
guillo
guy
gw
harold
harvey
hassan
helene
henri
henry
herbert
hermann
hermes
hippolyte
honore
httpd
hugo
humbert
icq
idemo
ident
igor
ims
ines
inetmail
informix
ingrid
intel
intra
intranet
ipaq
ipsec
ircd
irenee
jacqueline
jacquet
java
jean
jean-baptiste
jean-marc
jean-marie
jean-michel
jean-pierre
jean-yves
jeanne
jeremie
jeremy
jerome
jessica
jimmy
joel
john
johnny
jose
joseph
joshua
judith
julian
julie
julien
julienne
juliette
junkbust
justin
justine
kamel
karim
karima
lacroix
laetitia
lambda
laurence
ldap
lea
lecler
leclercq
lecomte
lefebvre
lefevre
legrand
leroux
leveque
library
lisa
list
logs
loic
louis
lpadm
lpd
luc
lucas
lucent
lucie
lucien
lydie
mailman
mailnull
mailsrv
majordom
manager
marc
marcel
marchand
marina
marion
martin
masson
master
mathias
maurice
mbox
mdom
mehdi
mercier
meunier
meyer
michel
michelle
mickael
monique
monitor
moreau
morin
moulin
msql
nabil
nancy
ness
nestor
net
netdump
netgear
netsaint
netscreen
netxpert
news
nfsnobody
nicole
noel
nortel
not
ns
ntop
ntpd
ntpdate
odile
oinstall
oracle
oss
paris
partners
pascal
pass
password
patch
patrice
patricia
patrol
paul
pauline
peggy
pereira
perez
peter
petit
philip
philippe
phpbb
picard
poirier
polly
pop
postfix
postgres
postgresql
postmaster
poulain
ppp
prevost
pvm
quentin
qwerty
rachid
radius
radiusd
radvd
raphael
raymond
recovery
regis
renard
rene
rey
robert
roche
rodriguez
rolland
romain
roussel
router
roux
rpc
rpcuser
rpm
rsync
sabine
sabrina
samba
samir
sanchez
scanlogd
schmitt
seb
sebastien
secret
services
servlet
sesame
simon
smb
smbclient
sms
smtp
snort
source
sources
spam
spamd
spool
squid
ssh
sshd
steeve
stephane
steven
storage
store
stunnel
supervisor
supports
suzanne
switch
sylvie
sync
teacher
tech
tele
telnet
telnetd
test
test1
thibault
thomas
tickets
titi
toto
tristan
tutu
upload
user
valerie
vasseur
vcsa
veronique
vianney
vincent
vivien
vpn
vscan
w3
watch
webalizer
webdata
weblogic
webmaster
website
william
wnn
www-admin
www-data
wwwadmin
wwwrun
xaviere
xfs
yannick
yoann
yohan
yves
yvette
zope
Personellement, c'est ainsi que je le comprends. Et on peut voir que ca a un sens: # grep "User root not allowed" /var/log/auth.log | wc -l 531 Plus de 500 tentatives en moins d'une semaine...
Si on part par là, il n'y a pas que root qui soit brute-forcé régulièrement.
Voici un extrait de mes logs récents (sur une semaine). Plus de 500 logins *différents*! Reconnaissez-vous le vôtre?
123 123456 Administrator DBA acct adele admin administrator agathe agnes alain albert alex alexandre ali alice alphonse amandine amelie andre anne anonymous antoine apache aria ariane aristide armand armel arthur aubert aubry aude audrey aurelie autobuild axel aymar aymard aymeric azerty backup bailly baptiste barnabe barnard baron barthelemy basile basse baudouin beethoven benedicte benjamin benoit berger bernadette bernard beryl bitchx blanchard bob bonnet boris boss boucher boulanger bourgeois boyer brice brun brunet bruno build cacti camille canna carine carl carole caroline caron carpentier casimir cassis cco cecile celine ceo cervantes chantal charles charpentier chemin chloe christine cisco claire classique claude claudine clemence clement client clotilde cmaker collet conf confidential cordier corentin craft cricket cvs cvsadmin cyril cyrille damien daniel data dave david db dba debug delphine demo demo1 demos denis denise dhcpd didier dimitri dns dominique download dubois dufour dumas dumont dupond dupont dupuy durand during duval edouard elisabeth emeline emile emilie emmanuel emmanuelle eng eric erwan estelle etienne eugenie evrard extra extranet eymard ezsetup fabre fabrice faure fax felicie ferreira firewall fleury florent florentin florian fontaine forum forums franck francois frederic frontpage ftp fw gabriel gaim garcia garnier gaston gate gauthier gdm genevieve george georges gerald gerard geraud germaine gertrude ghislain gilbert gildas gillet gisele gnats gonzalez gregoire gregory guest guest1 guillo guy gw harold harvey hassan helene henri henry herbert hermann hermes hippolyte honore httpd hugo humbert icq idemo ident igor ims ines inetmail informix ingrid intel intra intranet ipaq ipsec ircd irenee jacqueline jacquet java jean jean-baptiste jean-marc jean-marie jean-michel jean-pierre jean-yves jeanne jeremie jeremy jerome jessica jimmy joel john johnny jose joseph joshua judith julian julie julien julienne juliette junkbust justin justine kamel karim karima lacroix laetitia lambda laurence ldap lea lecler leclercq lecomte lefebvre lefevre legrand leroux leveque library lisa list logs loic louis lpadm lpd luc lucas lucent lucie lucien lydie mailman mailnull mailsrv majordom manager marc marcel marchand marina marion martin masson master mathias maurice mbox mdom mehdi mercier meunier meyer michel michelle mickael monique monitor moreau morin moulin msql nabil nancy ness nestor net netdump netgear netsaint netscreen netxpert news nfsnobody nicole noel nortel not ns ntop ntpd ntpdate odile oinstall oracle oss paris partners pascal pass password patch patrice patricia patrol paul pauline peggy pereira perez peter petit philip philippe phpbb picard poirier polly pop postfix postgres postgresql postmaster poulain ppp prevost pvm quentin qwerty rachid radius radiusd radvd raphael raymond recovery regis renard rene rey robert roche rodriguez rolland romain roussel router roux rpc rpcuser rpm rsync sabine sabrina samba samir sanchez scanlogd schmitt seb sebastien secret services servlet sesame simon smb smbclient sms smtp snort source sources spam spamd spool squid ssh sshd steeve stephane steven storage store stunnel supervisor supports suzanne switch sylvie sync teacher tech tele telnet telnetd test test1 thibault thomas tickets titi toto tristan tutu upload user valerie vasseur vcsa veronique vianney vincent vivien vpn vscan w3 watch webalizer webdata weblogic webmaster website william wnn www-admin www-data wwwadmin wwwrun xaviere xfs yannick yoann yohan yves yvette zope
Cedric Blancher
Le Wed, 13 Apr 2005 20:35:07 +0000, MLC a écrit :
Même si l'on peut spécifier les commandes à interdire dans le fichier sudoers rien n'empêche justement de renommer ces commandes !
Sauf qu'en général, on ne liste pas les commandes interdites, mais plutôt les commandes autorisée. C'est une des bases de la sécurité informatique...
Maintenant, comme on est consciencieux, on applique ce précepte et on autorise l'utilisateur toto à lancer un binaire avec les droits super-utilisateur :
toto ALL=(ALL) /usr/local/bin/masupercommande
Maintenant, si toto veut exécuter autre chose que /usr/local/bin/masupercommande, il va devoir écraser ce fichier par ce qu'il veut lancer. Et comme il n'a pas droit d'écrire dans /usr/local/bin en tant que simple utilisateur, il a besoin d'être root pour faire ça. Et s'il est déjà root, il n'a pas besoin de sudo pour le devenir. CQFD.
-- BOFH excuse #364:
Sand fleas eating the Internet cables
Le Wed, 13 Apr 2005 20:35:07 +0000, MLC a écrit :
Même si l'on peut spécifier les commandes à interdire dans le fichier
sudoers rien n'empêche justement de renommer ces commandes !
Sauf qu'en général, on ne liste pas les commandes interdites, mais
plutôt les commandes autorisée. C'est une des bases de la sécurité
informatique...
Maintenant, comme on est consciencieux, on applique ce précepte et on
autorise l'utilisateur toto à lancer un binaire avec les droits
super-utilisateur :
toto ALL=(ALL) /usr/local/bin/masupercommande
Maintenant, si toto veut exécuter autre chose que
/usr/local/bin/masupercommande, il va devoir écraser ce fichier par ce
qu'il veut lancer. Et comme il n'a pas droit d'écrire dans
/usr/local/bin en tant que simple utilisateur, il a besoin d'être root
pour faire ça. Et s'il est déjà root, il n'a pas besoin de sudo pour le
devenir. CQFD.
Même si l'on peut spécifier les commandes à interdire dans le fichier sudoers rien n'empêche justement de renommer ces commandes !
Sauf qu'en général, on ne liste pas les commandes interdites, mais plutôt les commandes autorisée. C'est une des bases de la sécurité informatique...
Maintenant, comme on est consciencieux, on applique ce précepte et on autorise l'utilisateur toto à lancer un binaire avec les droits super-utilisateur :
toto ALL=(ALL) /usr/local/bin/masupercommande
Maintenant, si toto veut exécuter autre chose que /usr/local/bin/masupercommande, il va devoir écraser ce fichier par ce qu'il veut lancer. Et comme il n'a pas droit d'écrire dans /usr/local/bin en tant que simple utilisateur, il a besoin d'être root pour faire ça. Et s'il est déjà root, il n'a pas besoin de sudo pour le devenir. CQFD.
