Marre des tentatives de hack de votre serveur via brute force ? - Page 7

cassiopee · 10/02/2007, 10h19

Citation:

Envoyé par garga

vous voulez pas poster vos fichier de conf tant qu'a faire ??

Lesquels ?

cassiopee · 10/02/2007, 10h25

Citation:

Envoyé par gegeweb

Puis nul besoin de script ou autre incantations :

- authentification par clef
- connexion autorisé pour un seul utilisateur
- connexion limité à deux IP (j'ai deux sites avec IP fixe)
- root n'a bien sûr pas la possibilité de se connecter directement.

Et pas besoin de modifier le port d'écoute de SSH.

La limitation à une ou 2 adresses IP fixes, c'est bien à condition
de toujours administrer son serveur depuis le même endroit.
Sans compter tous ceux qui sont en IP dynamique en ADSL.

Pour moi l'usage de fail2ban permet non pas d'éviter un piratage
(puisque je suis déjà en authentification par clef notamment)
mais cela évite de voir le log rempli de milliers de lignes inutiles
et sans avoir de contrainte sur l'IP de connexion.

Citation:

Après de toutes façons, de ce que je peux lire par ici, le maillon
faible du serveur sera certainement un serveur web mal configuré avec
des script php mal écrit plutôt que le risque d'une attaque par force
brutte sur ssh.

C'est clair qu'il y a bien plus de risques de ce côté là de nos jours.

cassiopee · 10/02/2007, 10h42

Citation:

Envoyé par cassiopee

Lesquels ?

Mal réveillé ... tu cherches un tutoriel pour installer fail2ban ?

C'est parti :

(Il faut avoir python 2.4 ou 2.5 installé préalablement)

Citation:

Installer fail2ban

- Le récupérer là :

http://downloads.sourceforge.net/fai...2&big_mirror=0

- L'installer

bzip2 -d fail2ban-0.7.6.tar.bz2
tar -xvf fail2ban-0.7.6.tar
python setup.py install

- Configuration

+ Rajouter

auth.info;mail.none -/var/log/sshd.log

dans syslog.conf

Redémarrer syslogd (kill -HUP xxx)

+ Décommenter ces lignes dans /etc/sshd/sshd_config :

SyslogFacility AUTH
LogLevel INFO

Redémarrer sshd

+ Doc pour fail2ban 0.7.x :

http://www.fail2ban.org/wiki/index.p...fail2ban_0.7.x

+ Modifier le fichier /etc/fail2ban/jail.conf

A la ligne "ignoreip" rajouter sa propre IP (si on est en IP fixe)

Dans [ssh-iptables] mettre :

enabled = true

# mail-whois[name=SSH, dest=yourmail@mail.com]

(sauf si on a envie de recevoir un mail à chaque fois que le script bloque une tentative)

+ Renommer le fichier /etc/fail2ban/fail2ban.conf en
fail2ban.conf.original

+ Recopier le bon fichier de config pour iptables :

cp fail2ban-0.7.6/config/action.d/iptables.conf /etc/fail2ban/fail2ban.conf

(si on utilise iptables, sinon il faut en recopier un autre)

+ Reprendre le contenu du fichier fail2ban.conf.original dans le
nouveau fichier de configuration fail2ban.conf

+ Pour tester que tout va bien :

fail2ban-client -d

+ Pour lancer fail2ban :

fail2ban-client start

J'espère n'avoir rien oublié

Abazada · 10/02/2007, 14h52

Citation:

Envoyé par cassiopee

Pour moi l'usage de fail2ban permet non pas d'éviter un piratage
(puisque je suis déjà en authentification par clef notamment)
mais cela évite de voir le log rempli de milliers de lignes inutiles
et sans avoir de contrainte sur l'IP de connexion.

Idem pour les logs. Mais pourquoi ne pas juste utiliser une règles iptables comme je l'avais indiqué ?

Code:

/sbin/iptables -A INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
/sbin/iptables -A INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 -j DROP

Pas plus de 3 traces dans tes logs par 5 minutes. Ca te va ?

Sinon ça se paramètre facile.

Abazada

psai · 10/02/2007, 15h35

Citation:

Envoyé par cassiopee

La limitation à une ou 2 adresses IP fixes, c'est bien à condition
de toujours administrer son serveur depuis le même endroit.
Sans compter tous ceux qui sont en IP dynamique en ADSL.

Et le port knocking ?
Personne ne pratique ca parmis vous ?

cassiopee · 10/02/2007, 16h50

Citation:

Envoyé par Abazada

Idem pour les logs. Mais pourquoi ne pas juste utiliser une règles iptables comme je l'avais indiqué ?

Code:

/sbin/iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
/sbin/iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 -j DROP

Pas plus de 3 traces dans tes logs par 5 minutes. Ca te va ?

Sinon ça se paramètre facile.

Abazada

Ah ben oui c'est encore plus simple

Je ne pensais pas qu'iptables pouvait faire ce genre de choses.

cassiopee · 10/02/2007, 16h52

Citation:

Envoyé par psai

Et le port knocking ?
Personne ne pratique ca parmis vous ?

Pas moi ; si j'avais un serveur à sécuriser à mort je le ferais sans doute.

sadkun · 10/02/2007, 16h57

Hum Port Knocking, connait pas ça, je vais aller me documenter

Oui j'ai un serveur à sécuriser à mort ^^

cassiopee · 10/02/2007, 17h11

héhé

Le port knocking c'est l'idée qu'en temps normal le port de ton serveur ssh
(ou un autre type de serveur dans l'absolu) est fermé, complètement,
personne, pas même toi, ne peut s'y connecter.

Pour qu'il soit ouvert il faut en fait envoyer plusieurs paquets sur différents ports,
dans un certain ordre et dans un certain délai.

Par exemple tu peux décider que :

"si tu reçois un paquet sur le port 6517, puis sur le port 1025, puis sur le
port 65443 et enfin sur le port 4596, le tout en moins d'une minute,
alors ouvre le port 22"

En supposant que ton serveur ssh soit sur le port 22 car bien sûr
rien ne t'empêche de le mettre en écoute sur un autre port.

Et une fois déconnecté, le port est à nouveau complètement fermé.

Le nom vient sans doute du fait que cela ressemble au code que l'on
peut mettre au point avec quelqu'un pour savoir qui frappe à la porte
avant de l'ouvrir (2 coups courts, 3 coups long, etc.)

lostcontrol · 10/02/2007, 22h55

Citation:

Envoyé par sadkun

Donc question où fail2ban a-t-il pu définir les règles de iptables...

Les règles sont définis dans :

version 0.6.x : /etc/fail2ban.conf. Il s'agit des options "fwstart", "fwban", etc.
version 0.7.x : /etc/fail2ban/action.d/iptables.conf. Voir les options "actionstart", "actionban", etc.

Fail2ban exécute ces commandes à des moments bien précis et modifie ainsi les règles du firewall. A noter qu'il n'est pas nécessaire de sauvegarder ou restaurer manuellement les chaînes ou règles créées par Fail2ban. Il s'en charge tout seul

A noter également qu'il est possible d'utiliser d'autres firewalls ou méthodes pour bannir un hôte (shorewall, tcp-wrappers, etc) et que Fail2ban peut être aussi utilisé avec Apache, Postfix, VsFTP, Exim, etc.

A+

10/02/2007, 16h57	#68
sadkun Membre Date d'inscription: novembre 2006 Messages: 301	Re : Marre des tentatives de hack de votre serveur via brute force ? Hum Port Knocking, connait pas ça, je vais aller me documenter Oui j'ai un serveur à sécuriser à mort ^^

10/02/2007, 17h11	#69
cassiopee Membre Date d'inscription: janvier 2007 Messages: 3 882	Re : Marre des tentatives de hack de votre serveur via brute force ? héhé Le port knocking c'est l'idée qu'en temps normal le port de ton serveur ssh (ou un autre type de serveur dans l'absolu) est fermé, complètement, personne, pas même toi, ne peut s'y connecter. Pour qu'il soit ouvert il faut en fait envoyer plusieurs paquets sur différents ports, dans un certain ordre et dans un certain délai. Par exemple tu peux décider que : "si tu reçois un paquet sur le port 6517, puis sur le port 1025, puis sur le port 65443 et enfin sur le port 4596, le tout en moins d'une minute, alors ouvre le port 22" En supposant que ton serveur ssh soit sur le port 22 car bien sûr rien ne t'empêche de le mettre en écoute sur un autre port. Et une fois déconnecté, le port est à nouveau complètement fermé. Le nom vient sans doute du fait que cela ressemble au code que l'on peut mettre au point avec quelqu'un pour savoir qui frappe à la porte avant de l'ouvrir (2 coups courts, 3 coups long, etc.)

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email