Bonjour, je cherche à configurer correctement blockhosts pour empecher
les tentatives d'intrusion à répétition et banir temporairement les
adresses IP sources.
J'aurais voulu essayer fail2ban mais il requiert une version de Python
non encore dispo sur ma distribution (CentOS 4.5)
Le problème est que depuis que j'utilise blockhosts je n'arrive plus à
me connecter en FTP sur le serveur.
Ce que je ne comprends pas c'est que blockhosts.py n'est exécuté qu'une
fois pas heure, et que dans l'intervalle il n'apparait pas dans ps - Al
Pourtant quand je tente de me connecter avec un client ftp, j'obtiens
ceci dans /var/log/messages
blockhosts: echo tag: 192.168.1.1-vsftpd@192.168.1.11
Je ne comprends pas comment blockhosts peut s'exécuter sur demande,
d'ailleurs iptables --list retourne ceci :
Chain INPUT (policy ACCEPT)
target prot opt source destination
blockhosts all -- anywhere anywhere
Que fait cette target 'blockhosts' ici, à quoi correspond elle ? Est-ce
que ça signifie que blockhosts.py est exécuté par iptables ? Comme un
filtre ? Mais où est-ce que c'est déclaré ce genre de comportement ?
Voila, si vous avez un peu d'aide à me fournir ça serait sympa !
/etc/blockhosts.cfg (ne comportant que les sections que j'ai modifié)
#-----------------------------------------------------------------------
[common]
# common section is variables that may be used by main program, mail, etc
#HOSTS_BLOCKFILE = "/etc/hosts.allow"
# the name of the block-file on your computer - usually hosts.allow or
# hosts.deny, see "man 5 hosts_access" for details on these files.
# default is hosts.allow
#HOST_BLOCKLINE = ["ALL: ", " : deny"]
# the line to output, with Host Ip Address in between the strings above,
# to turn on blocking of that IP address
#VERBOSE = Log.MESSAGE_LEVEL_ERROR #-> error (same as --quiet option)
VERBOSE = Log.MESSAGE_LEVEL_WARNING #-> warning (default)
#VERBOSE = Log.MESSAGE_LEVEL_INFO #-> info (same as --verbose option)
#VERBOSE = Log.MESSAGE_LEVEL_DEBUG #-> debug (same as --debug option)
# logging message levels - each level includes all levels above it
#-----------------------------------------------------------------------
[filters]
# filters section defines configuration for filtering watched hosts
# into the blocked hosts list
COUNT_THRESHOLD = 7
# number of invalid attempts after which host is blocked
# note that actual denial make take one or more attempts - depends on the
# timing of when LOGFILES are updated by the system, and when this script
# gets to run
#AGE_THRESHOLD = 12
# number of hours after which host entry is discarded from hosts.deny
# 24 -> one day, 168 -> one week, 720 -> 30 days, integer values only
# most attackers go away after they are blocked, so to keep hosts.deny
# file size small, no reason to make this any more than, say, half-a-day
WHITELIST = [ "127.0.0.1", "192.168.1.1", "194.146.224.129"]
#WHITELIST = []
#WHITELIST = [ "127.0.0.1", "10\.0\.0\..*", ]
# A list of IP (IPv4) addresses or regular expressions that represent
# a IP (IPv4) address - this is the list of white-listed IP addresses.
# When considering IPs to block, if a IP address maches any item in this
# list, then it will be removed from the block list - so won't be blocked.
#BLACKLIST = []
#BLACKLIST = [ "192.168.10.1", "10\..*", ]
# A list of IP (IPv4) addresses or regular expressions that represent
# a IP (IPv4) address - this is the list of black-listed IP addresses.
# When considering IPs to block, if a IP address maches any item in this
# list, then it will be immediately added to the block list, even if
# COUNT_THRESHOLD may not have been reached.
# IP addresses directly specified in this list without a regular expression
# will be immediately added to the blocked list.
# WHITELIST takes precedence over BLACKLIST - so a match in both will mean
# it is white-listed.
#-----------------------------------------------------------------------
[blockhosts]
# blockhosts section defines the log files to scan and patterns to look for
#LOGFILES = [ "/var/log/secure", ]
#LOGFILES = [ "/var/log/auth.log", ]
LOGFILES = [ "/var/log/secure", "/var/log/xferlog", ]
# default list of logs to process, comma separated, can follow Python
# syntax, should be a sequence (list or tuple) of strings representing
# filenames: 1 or more files, default is single file: /var/log/secure
#LOCKFILE = "/tmp/blockhosts.lock"
# need create/write access to this file, used to make sure only one
# instance of blockhosts.py script writes the HOSTS_BLOCKFILE at one time
# note that the mail/iptables/iproute parts of the program do not serialize
#-----------------------------------------------------------------------
[ipblock]
# ipblock section for enabling protection using TCP/IP level blocking -
# by using null routes, or iptables filtering, all network communication
# is stopped from a particular IP address
#IPBLOCK = ""
#IPBLOCK = "iproute"
IPBLOCK = "iptables"
# "iproute": Do TCP/IP blocking using route commands to setup null-routes.
# ip route add <ip-addr> via 127.0.0.1
# "iptable": Do TCP/IP blocking, using iptables packet filtering.
# iptables --append blockhosts --source <ip-addr> -j DROP
La parade ultime n'existant pas Qu'est-ce qui te fait dire ça ?
Dans les archives des discussions relatives à la sécurité informatique, la parade ultime est de débrancher et éteindre l'ordinateur. Ce n'est pas une solution "sérieuse", et elle st bien souvent évoquée d emanière ironique.
Sinon, c'est le jeu du chat et de la souris entre les admins et les méchants.
Nicolas George wrote:
La parade ultime n'existant pas
Qu'est-ce qui te fait dire ça ?
Dans les archives des discussions relatives à la sécurité informatique,
la parade ultime est de débrancher et éteindre l'ordinateur. Ce n'est
pas une solution "sérieuse", et elle st bien souvent évoquée d emanière
ironique.
Sinon, c'est le jeu du chat et de la souris entre les admins et les
méchants.
La parade ultime n'existant pas Qu'est-ce qui te fait dire ça ?
Dans les archives des discussions relatives à la sécurité informatique, la parade ultime est de débrancher et éteindre l'ordinateur. Ce n'est pas une solution "sérieuse", et elle st bien souvent évoquée d emanière ironique.
Sinon, c'est le jeu du chat et de la souris entre les admins et les méchants.
newsreader
- j'ai changé le port du serveur SSH à une valeur haute (y a jusqu'à 65535) non encore utilisée sur mon serveur - j'ai mis une règle iptables "limit" sur ce port empêchant plus de 2 nouvelles connexions par minute (c'est amplement suffisant pour moi qui n'ouvre pas 60 000 connexions...) depuis l'Internet
Pour l'instant personne n'a trouvé le "bon" port SSH
Attention au risque de déni de service si quelqu'un le trouve. Si un attaquant "bombarde" en continu ta machine de tentatives de connexions, tu risques d'avoir du mal à te connecter à cause de la règle "limit".
Ca n'a pas beaucoup d'importance vu que quand je me connecte depuis l'Internet, c'est pour bidouiller depuis le boulot pendant ma pause de midi. Depuis chez moi y a pas la limite... -- (enlever pasdespam pour répondre) http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups, recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
- j'ai changé le port du serveur SSH à une valeur haute (y a jusqu'à
65535) non encore utilisée sur mon serveur
- j'ai mis une règle iptables "limit" sur ce port empêchant plus de 2
nouvelles connexions par minute (c'est amplement suffisant pour moi qui
n'ouvre pas 60 000 connexions...) depuis l'Internet
Pour l'instant personne n'a trouvé le "bon" port SSH
Attention au risque de déni de service si quelqu'un le trouve. Si un
attaquant "bombarde" en continu ta machine de tentatives de connexions,
tu risques d'avoir du mal à te connecter à cause de la règle "limit".
Ca n'a pas beaucoup d'importance vu que quand je me connecte depuis
l'Internet, c'est pour bidouiller depuis le boulot pendant ma pause de
midi.
Depuis chez moi y a pas la limite...
--
(enlever pasdespam pour répondre)
http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups,
recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
- j'ai changé le port du serveur SSH à une valeur haute (y a jusqu'à 65535) non encore utilisée sur mon serveur - j'ai mis une règle iptables "limit" sur ce port empêchant plus de 2 nouvelles connexions par minute (c'est amplement suffisant pour moi qui n'ouvre pas 60 000 connexions...) depuis l'Internet
Pour l'instant personne n'a trouvé le "bon" port SSH
Attention au risque de déni de service si quelqu'un le trouve. Si un attaquant "bombarde" en continu ta machine de tentatives de connexions, tu risques d'avoir du mal à te connecter à cause de la règle "limit".
Ca n'a pas beaucoup d'importance vu que quand je me connecte depuis l'Internet, c'est pour bidouiller depuis le boulot pendant ma pause de midi. Depuis chez moi y a pas la limite... -- (enlever pasdespam pour répondre) http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups, recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
newsreader
Nicolas George <nicolas$ wrote:
Luc Habert wrote in message <ff4rfm$4u0$:
Peut-être est-ce deux connexions par minute depuis une même adresse?
# rate limit ssh # first: mark new connections to ssh in the "SSH" list iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m recent --set --name SSH
# second: if more than 3 connection arrived in 60 seconds, update the SSH # list with this new connection attempt (sliding window), and reject # the connection iptables -A INPUT -p tcp --dport ssh -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP
J'ai hésité à utiliser recent vu finalement le fait qu'en général je me connecte toujours de la même machine qui elle ne subit pas la règle limit, je me suis dit que le limit suffirait à calmer les ardeur et c'est bien ce qui s'est passé. Mais ce qui a calmé le plus, c'est le changement de port du serveur SSH parce que dans 99% des attaques, on a affaire à un script qui ne va pas chercher trop loin... J'en ai un qui a trouvé en 2 ans et la limite l'a calmé après 5 tentatives....
-- (enlever pasdespam pour répondre) http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups, recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
Nicolas George <nicolas$george@salle-s.org> wrote:
Luc Habert wrote in message <ff4rfm$4u0$1@nef.ens.fr>:
Peut-être est-ce deux connexions par minute depuis une même adresse?
# rate limit ssh
# first: mark new connections to ssh in the "SSH" list
iptables -A INPUT -p tcp --dport ssh
-m state --state NEW
-m recent --set --name SSH
# second: if more than 3 connection arrived in 60 seconds, update the SSH
# list with this new connection attempt (sliding window), and reject
# the connection
iptables -A INPUT -p tcp --dport ssh
-m recent --update --seconds 60 --hitcount 3 --rttl --name SSH
-j DROP
J'ai hésité à utiliser recent vu finalement le fait qu'en général je me
connecte toujours de la même machine qui elle ne subit pas la règle limit,
je me suis dit que le limit suffirait à calmer les ardeur et c'est bien ce
qui s'est passé.
Mais ce qui a calmé le plus, c'est le changement de port du serveur SSH
parce que dans 99% des attaques, on a affaire à un script qui ne va pas
chercher trop loin... J'en ai un qui a trouvé en 2 ans et la limite l'a
calmé après 5 tentatives....
--
(enlever pasdespam pour répondre)
http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups,
recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
# rate limit ssh # first: mark new connections to ssh in the "SSH" list iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m recent --set --name SSH
# second: if more than 3 connection arrived in 60 seconds, update the SSH # list with this new connection attempt (sliding window), and reject # the connection iptables -A INPUT -p tcp --dport ssh -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP
J'ai hésité à utiliser recent vu finalement le fait qu'en général je me connecte toujours de la même machine qui elle ne subit pas la règle limit, je me suis dit que le limit suffirait à calmer les ardeur et c'est bien ce qui s'est passé. Mais ce qui a calmé le plus, c'est le changement de port du serveur SSH parce que dans 99% des attaques, on a affaire à un script qui ne va pas chercher trop loin... J'en ai un qui a trouvé en 2 ans et la limite l'a calmé après 5 tentatives....
-- (enlever pasdespam pour répondre) http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups, recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
newsreader
le 17/10/2007 14:30, Nicolas KOWALSKI nous a dit:
Comme l'écrit Pascal, avec le module "recent":
J'ignorais totalement qu'iptables sache faire ça. Quel inconvénient ou avantage par rapport à une solution type fail2ban ou blockhosts ?
L'inconvénient, je l'ai expliqué dans mon message précédent : c'est très sensible au spoofing IP car c'est basé sur les paquets de demande de connexion (SYN) et non sur l'établissement effectif des connexions TCP. Par conséquent, un attaquant déterminé peut relativement facilement aussi bien faire bloquer l'adresse IP d'un utilisateur légitime que se soustraire au filtrage en jouant sur la profondeur limitée de la mémoire de "recent". L'option --rttl qui fait prendre en compte le TTL des paquets comme élément de différenciation des sources permet néanmoins de limiter le risque de déni de service.
oui mais y en a pas tant que ça des attaquants déterminés... -- (enlever pasdespam pour répondre) http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups, recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
le 17/10/2007 14:30, Nicolas KOWALSKI nous a dit:
Comme l'écrit Pascal, avec le module "recent":
J'ignorais totalement qu'iptables sache faire ça. Quel inconvénient ou
avantage par rapport à une solution type fail2ban ou blockhosts ?
L'inconvénient, je l'ai expliqué dans mon message précédent : c'est très
sensible au spoofing IP car c'est basé sur les paquets de demande de
connexion (SYN) et non sur l'établissement effectif des connexions TCP.
Par conséquent, un attaquant déterminé peut relativement facilement
aussi bien faire bloquer l'adresse IP d'un utilisateur légitime que se
soustraire au filtrage en jouant sur la profondeur limitée de la mémoire
de "recent". L'option --rttl qui fait prendre en compte le TTL des
paquets comme élément de différenciation des sources permet néanmoins de
limiter le risque de déni de service.
oui mais y en a pas tant que ça des attaquants déterminés...
--
(enlever pasdespam pour répondre)
http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups,
recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
J'ignorais totalement qu'iptables sache faire ça. Quel inconvénient ou avantage par rapport à une solution type fail2ban ou blockhosts ?
L'inconvénient, je l'ai expliqué dans mon message précédent : c'est très sensible au spoofing IP car c'est basé sur les paquets de demande de connexion (SYN) et non sur l'établissement effectif des connexions TCP. Par conséquent, un attaquant déterminé peut relativement facilement aussi bien faire bloquer l'adresse IP d'un utilisateur légitime que se soustraire au filtrage en jouant sur la profondeur limitée de la mémoire de "recent". L'option --rttl qui fait prendre en compte le TTL des paquets comme élément de différenciation des sources permet néanmoins de limiter le risque de déni de service.
oui mais y en a pas tant que ça des attaquants déterminés... -- (enlever pasdespam pour répondre) http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups, recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
newsreader
On 17 Oct 2007 11:09:02 GMT, (Lolotte) wrote:
- j'ai changé le port du serveur SSH à une valeur haute (y a jusqu'à 65535) non encore utilisée sur mon serveur
Enfin bon à ce compte, en plus de me trimballer des listes de noms et adresses de bécanes + les login et pass qui vont avec, je vais aussi me trimballer les numéros de port custom.... Non mais ça va pas ??? Y a des normes en ce domaine, je refuse de m'en écarter. Pas plus que je ne décide de mettre ma porte d'entrée sur le toit et de monter sur une échelle pour rentrer chez moi. De toute manière, si qqn est fermement décidé à me cambrioler, il trouvera bien que la porte est sur le toit. Bref : 'portnawak... Sécurité, obscurité, toussa.
En même temps je n'ai qu'un serveur accessible en SSH de l'extérieur, alors mémoriser 1 port, c'est pas la mer à boire... -- (enlever pasdespam pour répondre) http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups, recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
On 17 Oct 2007 11:09:02 GMT, newsreader@pasdespamdansmongrenier.com
(Lolotte) wrote:
- j'ai changé le port du serveur SSH à une valeur haute (y a jusqu'à
65535) non encore utilisée sur mon serveur
Enfin bon à ce compte, en plus de me trimballer des listes de noms et
adresses de bécanes + les login et pass qui vont avec, je vais aussi
me trimballer les numéros de port custom.... Non mais ça va pas ???
Y a des normes en ce domaine, je refuse de m'en écarter.
Pas plus que je ne décide de mettre ma porte d'entrée sur le toit et
de monter sur une échelle pour rentrer chez moi. De toute manière, si
qqn est fermement décidé à me cambrioler, il trouvera bien que la
porte est sur le toit.
Bref : 'portnawak... Sécurité, obscurité, toussa.
En même temps je n'ai qu'un serveur accessible en SSH de l'extérieur,
alors mémoriser 1 port, c'est pas la mer à boire...
--
(enlever pasdespam pour répondre)
http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups,
recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
- j'ai changé le port du serveur SSH à une valeur haute (y a jusqu'à 65535) non encore utilisée sur mon serveur
Enfin bon à ce compte, en plus de me trimballer des listes de noms et adresses de bécanes + les login et pass qui vont avec, je vais aussi me trimballer les numéros de port custom.... Non mais ça va pas ??? Y a des normes en ce domaine, je refuse de m'en écarter. Pas plus que je ne décide de mettre ma porte d'entrée sur le toit et de monter sur une échelle pour rentrer chez moi. De toute manière, si qqn est fermement décidé à me cambrioler, il trouvera bien que la porte est sur le toit. Bref : 'portnawak... Sécurité, obscurité, toussa.
En même temps je n'ai qu'un serveur accessible en SSH de l'extérieur, alors mémoriser 1 port, c'est pas la mer à boire... -- (enlever pasdespam pour répondre) http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups, recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
Fabien LE LEZ
On 17 Oct 2007 18:27:01 GMT, (Lolotte):
oui mais y en a pas tant que ça des attaquants déterminés...
Mais il suffit d'un pour que tu ne puisses plus du tout accéder à la machine.
On 17 Oct 2007 18:27:01 GMT, newsreader@pasdespamdansmongrenier.com
(Lolotte):
oui mais y en a pas tant que ça des attaquants déterminés...
Mais il suffit d'un pour que tu ne puisses plus du tout accéder à la
machine.
oui mais y en a pas tant que ça des attaquants déterminés...
Mais il suffit d'un pour que tu ne puisses plus du tout accéder à la machine.
newsreader
On 17 Oct 2007 18:27:01 GMT, (Lolotte):
oui mais y en a pas tant que ça des attaquants déterminés...
Mais il suffit d'un pour que tu ne puisses plus du tout accéder à la machine.
Oui mais non puisque cette règle limit ne s'applique pas à la machine depuis laquelle je fais du SSH... -- (enlever pasdespam pour répondre) http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups, recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
On 17 Oct 2007 18:27:01 GMT, newsreader@pasdespamdansmongrenier.com
(Lolotte):
oui mais y en a pas tant que ça des attaquants déterminés...
Mais il suffit d'un pour que tu ne puisses plus du tout accéder à la
machine.
Oui mais non puisque cette règle limit ne s'applique pas à la machine
depuis laquelle je fais du SSH...
--
(enlever pasdespam pour répondre)
http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups,
recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
oui mais y en a pas tant que ça des attaquants déterminés...
Mais il suffit d'un pour que tu ne puisses plus du tout accéder à la machine.
Oui mais non puisque cette règle limit ne s'applique pas à la machine depuis laquelle je fais du SSH... -- (enlever pasdespam pour répondre) http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups, recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
Hugolino
Le 18 Oct 2007 08:19:25 GMT, Lolotte a écrit:
Mais il suffit d'un pour que tu ne puisses plus du tout accéder à la machine.
Oui mais non puisque cette règle limit ne s'applique pas à la machine depuis laquelle je fais du SSH...
Oh, encore une <a href="http://tinyurl.com/2lfvln">nana-tout-linux</a> !
Je sais bien que je viens de prouver avec mes posts que je suis nul en iptables, mais je crois que le monsieur te dit que la machine à laquelle cette règle s'applique (ton serveur) aura du mal à te répondre : elle passera sa vie à lancer des 'iptables -t bidules -j machin --limit...' aussi tes misérables toc-toc sur le port très loin au-dessus de 22, elle va pas les entendre...
-- Subject: Vim || Emacs ?
Moi je préfère vim et vous ? Je préfère troller pour ma part.
Hugo (né il y a 1 372 130 921 secondes)
Le 18 Oct 2007 08:19:25 GMT, Lolotte a écrit:
Mais il suffit d'un pour que tu ne puisses plus du tout accéder à la
machine.
Oui mais non puisque cette règle limit ne s'applique pas à la machine
depuis laquelle je fais du SSH...
Oh, encore une <a href="http://tinyurl.com/2lfvln">nana-tout-linux</a> !
Je sais bien que je viens de prouver avec mes posts que je suis nul en
iptables, mais je crois que le monsieur te dit que la machine à laquelle
cette règle s'applique (ton serveur) aura du mal à te répondre : elle
passera sa vie à lancer des 'iptables -t bidules -j machin --limit...'
aussi tes misérables toc-toc sur le port très loin au-dessus de 22, elle
va pas les entendre...
--
Subject: Vim || Emacs ?
Moi je préfère vim et vous ?
Je préfère troller pour ma part.
Mais il suffit d'un pour que tu ne puisses plus du tout accéder à la machine.
Oui mais non puisque cette règle limit ne s'applique pas à la machine depuis laquelle je fais du SSH...
Oh, encore une <a href="http://tinyurl.com/2lfvln">nana-tout-linux</a> !
Je sais bien que je viens de prouver avec mes posts que je suis nul en iptables, mais je crois que le monsieur te dit que la machine à laquelle cette règle s'applique (ton serveur) aura du mal à te répondre : elle passera sa vie à lancer des 'iptables -t bidules -j machin --limit...' aussi tes misérables toc-toc sur le port très loin au-dessus de 22, elle va pas les entendre...
-- Subject: Vim || Emacs ?
Moi je préfère vim et vous ? Je préfère troller pour ma part.
Hugo (né il y a 1 372 130 921 secondes)
newsreader
Le 18 Oct 2007 08:19:25 GMT, Lolotte a écrit:
Mais il suffit d'un pour que tu ne puisses plus du tout accéder à la machine.
Oui mais non puisque cette règle limit ne s'applique pas à la machine depuis laquelle je fais du SSH...
Oh, encore une <a href="http://tinyurl.com/2lfvln">nana-tout-linux</a> !
Je sais bien que je viens de prouver avec mes posts que je suis nul en iptables, mais je crois que le monsieur te dit que la machine à laquelle cette règle s'applique (ton serveur) aura du mal à te répondre : elle passera sa vie à lancer des 'iptables -t bidules -j machin --limit...' aussi tes misérables toc-toc sur le port très loin au-dessus de 22, elle va pas les entendre...
Ma machine va rien lancer puisque c'est une règle qui est déjà appliquée à toute machine de l'Internet sauf celle qui m'intéresse. Il n'y a qu'une règle "limit".
De toutes façons ça rend exactement le service que je veux depuis 2 ans : je n'ai plus d'attaques sur mon serveur SSH. J'ai toujours des scans de ports mais ils tombent sur un port 22 fermé et essayent rarement plus de 2 fois. En 2 ans, y en a pas un qui est allé cherché plus loin. Les attaquants déterminés sur mon SSH je les attends toujours... et puis même si un arrivait à trouver le port, il serait limité à 2 tentatives/minute, déjà ça calme la plupart des scripts. Mais imaginons avoir affaire à un humain déterminé, à 2 connexions/minute, il va s'amuser un moment avant de trouver le bon couple login/password (d'ici là je l'aurai peut-être repéré). Et puis même s'il trouve, il va se retrouver sur un compte d'un utilisateur confiné et avec des droits très restreints et il faudra alors qu'il fasse un 'su' pour se loguer en root et trouver encore un password sachant que là encore il va être confronté encore à quelques embûches...
Donc je dis pas que je suis invincible parce que tout système de sécurité est violable mais j'ai superposé plein de petites protections qui ralentissent la progression d'un attaquant (ce qui me laisse le temps d'en ajouter d'autres pendant qu'il attaque si nécessaire), voire le découragent si c'est un script.
Lolotte -- (enlever pasdespam pour répondre) http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups, recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
Le 18 Oct 2007 08:19:25 GMT, Lolotte a écrit:
Mais il suffit d'un pour que tu ne puisses plus du tout accéder à la
machine.
Oui mais non puisque cette règle limit ne s'applique pas à la machine
depuis laquelle je fais du SSH...
Oh, encore une <a href="http://tinyurl.com/2lfvln">nana-tout-linux</a> !
Je sais bien que je viens de prouver avec mes posts que je suis nul en
iptables, mais je crois que le monsieur te dit que la machine à laquelle
cette règle s'applique (ton serveur) aura du mal à te répondre : elle
passera sa vie à lancer des 'iptables -t bidules -j machin --limit...'
aussi tes misérables toc-toc sur le port très loin au-dessus de 22, elle
va pas les entendre...
Ma machine va rien lancer puisque c'est une règle qui est déjà appliquée à
toute machine de l'Internet sauf celle qui m'intéresse.
Il n'y a qu'une règle "limit".
De toutes façons ça rend exactement le service que je veux depuis 2 ans :
je n'ai plus d'attaques sur mon serveur SSH. J'ai toujours des scans de
ports mais ils tombent sur un port 22 fermé et essayent rarement plus de 2
fois. En 2 ans, y en a pas un qui est allé cherché plus loin. Les
attaquants déterminés sur mon SSH je les attends toujours... et puis même
si un arrivait à trouver le port, il serait limité à 2 tentatives/minute,
déjà ça calme la plupart des scripts. Mais imaginons avoir affaire à un
humain déterminé, à 2 connexions/minute, il va s'amuser un moment avant de
trouver le bon couple login/password (d'ici là je l'aurai peut-être
repéré). Et puis même s'il trouve, il va se retrouver sur un compte d'un
utilisateur confiné et avec des droits très restreints et il faudra alors
qu'il fasse un 'su' pour se loguer en root et trouver encore un password
sachant que là encore il va être confronté encore à quelques embûches...
Donc je dis pas que je suis invincible parce que tout système de sécurité
est violable mais j'ai superposé plein de petites protections qui
ralentissent la progression d'un attaquant (ce qui me laisse le temps d'en
ajouter d'autres pendant qu'il attaque si nécessaire), voire le
découragent si c'est un script.
Lolotte
--
(enlever pasdespam pour répondre)
http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups,
recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
Mais il suffit d'un pour que tu ne puisses plus du tout accéder à la machine.
Oui mais non puisque cette règle limit ne s'applique pas à la machine depuis laquelle je fais du SSH...
Oh, encore une <a href="http://tinyurl.com/2lfvln">nana-tout-linux</a> !
Je sais bien que je viens de prouver avec mes posts que je suis nul en iptables, mais je crois que le monsieur te dit que la machine à laquelle cette règle s'applique (ton serveur) aura du mal à te répondre : elle passera sa vie à lancer des 'iptables -t bidules -j machin --limit...' aussi tes misérables toc-toc sur le port très loin au-dessus de 22, elle va pas les entendre...
Ma machine va rien lancer puisque c'est une règle qui est déjà appliquée à toute machine de l'Internet sauf celle qui m'intéresse. Il n'y a qu'une règle "limit".
De toutes façons ça rend exactement le service que je veux depuis 2 ans : je n'ai plus d'attaques sur mon serveur SSH. J'ai toujours des scans de ports mais ils tombent sur un port 22 fermé et essayent rarement plus de 2 fois. En 2 ans, y en a pas un qui est allé cherché plus loin. Les attaquants déterminés sur mon SSH je les attends toujours... et puis même si un arrivait à trouver le port, il serait limité à 2 tentatives/minute, déjà ça calme la plupart des scripts. Mais imaginons avoir affaire à un humain déterminé, à 2 connexions/minute, il va s'amuser un moment avant de trouver le bon couple login/password (d'ici là je l'aurai peut-être repéré). Et puis même s'il trouve, il va se retrouver sur un compte d'un utilisateur confiné et avec des droits très restreints et il faudra alors qu'il fasse un 'su' pour se loguer en root et trouver encore un password sachant que là encore il va être confronté encore à quelques embûches...
Donc je dis pas que je suis invincible parce que tout système de sécurité est violable mais j'ai superposé plein de petites protections qui ralentissent la progression d'un attaquant (ce qui me laisse le temps d'en ajouter d'autres pendant qu'il attaque si nécessaire), voire le découragent si c'est un script.
Lolotte -- (enlever pasdespam pour répondre) http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups, recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
Hugolino
Le 19 Oct 2007 05:25:10 GMT, Lolotte a écrit:
Ma machine va rien lancer puisque c'est une règle qui est déjà appliquée à toute machine de l'Internet sauf celle qui m'intéresse. Il n'y a qu'une règle "limit".
???. Peut-être ai-je un[1] neurone qui segfault...
Cette fameuse règle "limit" consomme des ressources CPU, non ? Si je fais toc-toc 1000 fois par seconde sur un port de ta machine, cette règle va donc bouffer 1000 fois plus de ressources que si je me contente d'un toc-toc par seconde. (En supposant que la règle doit au moins vérifier que le toc-toc est sur le même port et provient bien de la même IP).
Bref: Si un programme écoute les "toc-toc" sur les porte(s), pourquoi ne pourrais-je pas écrouler ta machine en tapant comme un sourd ?
... Donc je dis pas que je suis invincible parce que tout système de sécurité est violable
Si tu étais une fille, tu n'emploirais pas ce mot, n'est-ce pas mon bichon ?
-- [1] Dommage qu'en tant que motard je sois mono-neuronal... Hugo (né il y a 1 372 275 190 secondes)
Le 19 Oct 2007 05:25:10 GMT, Lolotte a écrit:
Ma machine va rien lancer puisque c'est une règle qui est déjà appliquée à
toute machine de l'Internet sauf celle qui m'intéresse.
Il n'y a qu'une règle "limit".
???. Peut-être ai-je un[1] neurone qui segfault...
Cette fameuse règle "limit" consomme des ressources CPU, non ?
Si je fais toc-toc 1000 fois par seconde sur un port de ta machine,
cette règle va donc bouffer 1000 fois plus de ressources que si je me
contente d'un toc-toc par seconde. (En supposant que la règle doit au
moins vérifier que le toc-toc est sur le même port et provient bien de
la même IP).
Bref: Si un programme écoute les "toc-toc" sur les porte(s), pourquoi ne
pourrais-je pas écrouler ta machine en tapant comme un sourd ?
...
Donc je dis pas que je suis invincible parce que tout système de sécurité
est violable
Si tu étais une fille, tu n'emploirais pas ce mot, n'est-ce pas mon bichon ?
--
[1] Dommage qu'en tant que motard je sois mono-neuronal...
Hugo (né il y a 1 372 275 190 secondes)
Ma machine va rien lancer puisque c'est une règle qui est déjà appliquée à toute machine de l'Internet sauf celle qui m'intéresse. Il n'y a qu'une règle "limit".
???. Peut-être ai-je un[1] neurone qui segfault...
Cette fameuse règle "limit" consomme des ressources CPU, non ? Si je fais toc-toc 1000 fois par seconde sur un port de ta machine, cette règle va donc bouffer 1000 fois plus de ressources que si je me contente d'un toc-toc par seconde. (En supposant que la règle doit au moins vérifier que le toc-toc est sur le même port et provient bien de la même IP).
Bref: Si un programme écoute les "toc-toc" sur les porte(s), pourquoi ne pourrais-je pas écrouler ta machine en tapant comme un sourd ?
... Donc je dis pas que je suis invincible parce que tout système de sécurité est violable
Si tu étais une fille, tu n'emploirais pas ce mot, n'est-ce pas mon bichon ?
-- [1] Dommage qu'en tant que motard je sois mono-neuronal... Hugo (né il y a 1 372 275 190 secondes)
