We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Petit problème ssh


foulweather
06/01/2017, 09h22
Je ne sais toujours pas comment réagir. Laisser l'attaquant se lasser en me disant que je suis à l'abri ?
Aujourd'hui encore je trouve ceci dans mon compte rendu quotidien :
--------------------- SSHD Begin ------------------------

**Unmatched Entries**
fatal: no matching cipher found: client aes256-cbc,rijndael-cbc@lysator.liu.se,aes192-cbc,aes128-cbc,arcfour128,arcfour,3des-cbc,none server aes256-ctr,aes128-ctr [preauth] : 1 time(s)
fatal: no matching mac found: client hmac-md5,hmac-sha1 server hmac-sha2-512,hmac-sha2-256,hmac-ripemd160 [preauth] : 2 time(s)

---------------------- SSHD End -------------------------
Un lien, mais du chinois pour moi.

janus57
01/01/2017, 22h50
Bonjour,

non c'est bien quelqu'un qui essaye de se connecter avec un mauvaise version mais OpenSSH le rejette directement et d'après @nowwhat à partir de la version 6.9 OpenSSH met les IP en plus dans les logs (car ici il rejette sans loger l'IP).

De plus on peu avoir ce genre de message si on diminue le nombre de "cipher" (MAC pour OpenSSH) pour sécuriser encore plus en enlevant les faibles.

Cordialement, janus57

foulweather
01/01/2017, 20h24
Pas de tentative d'intrusion donc., mais un problème de mise à jour d'OpenSSH, comme je l'indiquais au début ?

nowwhat
01/01/2017, 02h14
Citation Envoyé par foulweather
Le fichier log en question : /var/log/auth.log
J'ai inspecté mon "/var/log/auth.log".
Surpise.
J'en ai plein, ces :
Dec 26 01:51:50 ns311465 sshd[14538]: fatal: no matching cipher found: client aes256-cbc,rijndael-cbc@lysator.liu.se,aes192-cbc,aes128-cbc,arcfour128,arcfour,3des-cbc,none server aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com [preauth]
Il me semble que sshd depuis la version 6.9 communique l'IP 'remote' - et dans ce cas fail2ban pourrait faire quelque chose.
Hélas, la version stable de mon Debian est :
OpenSSH_6.7p1 Debian-5+deb8u3, OpenSSL 1.0.1t 3 May 2016

foulweather
31/12/2016, 09h31
Le fichier log en question : /var/log/auth.log
Exemple
Dec 31 02:27:16 ma_machine sshd[20731]: fatal: no matching mac found: client hmac-md5,hmac-sha1 server hmac-sha2-512,hmac-sha2-256,hmac-ripemd160 [preauth]

nowwhat
31/12/2016, 02h15
Citation Envoyé par foulweather
Logwatch m'affiche chaque matin cette ligne en indiquant de une à six tentatives à des heures très variables. Aucune adresse IP n'est indiquée.
Logwath ?
C'est bien, mais ça nous apprend rien.
Il s'agit quel fichier log ?
Sache que, sans IP (ce qui m'étonne un peu) 'fail2ban' ne pourrait rien faire.

janus57
31/12/2016, 02h12
Bonjour,

je vois pas comment être plus explicite, la regex inclus avec Debian 8 ne filtre pas ce genre d'attaque, donc il suffit d’utiliser une regex à jour (ou du moins qui permet de "voir" les authentification par clé).

Cordialement, janus57

foulweather
30/12/2016, 21h36
il faut mettre la regex à jour
C'est à dire ?
Soyez plus explicite SVP.

janus57
30/12/2016, 12h42
Bonjour,

simple c'est quelqu'un qui essaye de se connecter à votre serveur par le biais d'une clé SSH, et pas défaut la jail de fail2ban sous Debian 8 ne permet pas de bannir de genre d'attaque, il faut mettre la regex à jour.

Cordialement, janus57

foulweather
30/12/2016, 10h30
Logwatch m'affiche chaque matin cette ligne en indiquant de une à six tentatives à des heures très variables. Aucune adresse IP n'est indiquée.
**Unmatched Entries**
fatal: no matching mac found: client hmac-md5,hmac-sha1 server hmac-sha2-512,hmac-sha2-256,hmac-ripemd160 [preauth] : 3 time(s
Je serais curieux de savoir comment cette tentative d'intrusion fonctionne et s'il est possible de faire quelque chose pour la contrer.
Merci.

janus57
26/12/2016, 17h08
Bonjour,

cela veux juste dire que quelqu'un a essayer de s'identifier en utilisant un des MAC (Message Authentication Codes) présent dans la liste et que le serveur SSH ne semble pas prendre en charge (ce qui semble logique pour cette partie : client hmac-md5,hmac-sha1 )

Cordialement, janus57

foulweather
26/12/2016, 10h59
Bonjour,
Mon message logwatch quotidien m'indique une erreur
**Unmatched Entries**
fatal: no matching mac found: client hmac-md5,hmac-sha1 server hmac-sha2-512,hmac-sha2-256,hmac-ripemd160 [preauth] : 2 time(s)
Je crois comprendre qu'OpenSSH réclame une mise à jour manuelle. Je voudrais savoir si ce qui suit serait correct pour cette mise à jour :
ssh mon_kimsufi@qqchose.com -p xxxx -m hmac-md5, hmac-sha1 server, hmac-sha2-512, hmac-sha2-256, hmac-ripemd160
(-p xxxx parce que j'utilise un autre port que le 22.)