Journal Petit script pour Packet Filter (BSD)

• # denyhosts

  Posté par Aurélien Bompard (site web personnel) le 31 octobre 2006 à 11:42. Évalué à 5.

  

  Tu peux aussi regarder du côté de denyhosts ( http://denyhosts.sourceforge.net/ ) qui fait la même chose mais en entrant les IP dans hosts.deny. Y'a une durée d'expiration et tout, c'est pas mal foutu.

• # port != 22

  Posté par ribwund le 31 octobre 2006 à 11:47. Évalué à 9.

  

  Tu peux aussi faire tourner ton ssh sur un port non standard, ca a résolu tout mes problemes de scans. (bon c'est toujours sur 22 en ipv6 mais c'est beaucoup plus galère pour le bot :)

  • [^] # Re: port != 22

    Posté par FRLinux (site web personnel) le 01 novembre 2006 à 01:11. Évalué à 1.

    

    Pour un bot certes, ceci dit, des attaques de pirates par IPv6 ca commence a se voir, et pas qu'un peu. Vaux mieux avoir un firewall avec un calecon en zinc et de bonnes ACLs.
    
    Steph

• # démon

  Posté par BAud (site web personnel) le 31 octobre 2006 à 11:47. Évalué à 3.

  

  un tail -f /var/log/messages | ton_script_qui_fait les actions.sh
  (donc en mode démon) ça marcherait mieux non ? (plutôt que de retraiter un /var/log/messages qui ne fait que grossir avant d'avoir fini le traitement précédent...)
  
  et sinon tu peux utiliser /var/log/auth.log il me semble... et utilise plutôt gawk (ou perl) qui est plus adapté à ce genre de traitements...

  • [^] # Re: démon

    Posté par Aurélien Bompard (site web personnel) le 31 octobre 2006 à 15:22. Évalué à 2.

    

    Quand le /var/log/message est archivé par logrotate, ton tail n'affiche plus rien.

    • [^] # Re: démon

      Posté par Miod in the middle le 31 octobre 2006 à 17:17. Évalué à 1.

      

      Mais si. Un bon tail détecte que le ctime du fichier a changé, et se met à suivre le nouveau.

      • [^] # Re: démon

        Posté par Lucas Bonnet le 31 octobre 2006 à 17:23. Évalué à 1.

        

        tail -F marche pas mal pour ça, sinon.

• # GCU tips

  Posté par Bapt (site web personnel) le 31 octobre 2006 à 11:50. Évalué à 6.

  

  un petit tips made in GCU pour éviter le brute force ssh avec PF : http://wiki.gcu.info/doku.php?id=bsd:pf_et_bruteforce

  • [^] # Re: GCU tips

    Posté par gnumdk (site web personnel) le 31 octobre 2006 à 11:57. Évalué à 2.

    

    Bah voila, pourquoi je l'ai pas trouvé cette page! :)
    
    Bon, la prochaine fois, je passe ici poser ma question plutot que de me faire chier à faire un script ;)
    
    Merci beaucoup!

  • [^] # Re: GCU tips

    Posté par chl (site web personnel) le 31 octobre 2006 à 14:20. Évalué à 3.

    

    Si j'ai bien compris, cette technique consiste a blacklister toute IP tentant de se connecter plus de 2 fois en 10 secondes. Que se passe t'il si l'attaquant connait l'ip avec laquelle tu te connectes sur ta machine normalement, et l'utilise (spoof) pour te blacklister ?

    • [^] # Re: GCU tips

      Posté par djibb (site web personnel) le 31 octobre 2006 à 14:24. Évalué à 3.

      

      DTC !

      • [^] # Re: GCU tips

        Posté par legranblon (site web personnel) le 31 octobre 2006 à 14:43. Évalué à 3.

        

        Voilà pourquoi les portknockers existent.
        
        http://en.wikipedia.org/wiki/Port_knocking
        http://portknocking.org/view/implementations

    • [^] # Re: GCU tips

      Posté par gnumdk (site web personnel) le 31 octobre 2006 à 15:39. Évalué à 2.

      

      Ca va l'avancer à quoi de te blacklister?
      
      De toute facon, m'en fou, j'ai plein de "moyens" pour me connecter chez moi ;)

    • [^] # RTFM

      Posté par Krunch (site web personnel) le 01 novembre 2006 à 12:49. Évalué à 2.

      

      http://www.openbsd.org/cgi-bin/man.cgi?query=pf.conf&apr(...)
      

      For stateful TCP connections, limits on established connections (connections which have completed the TCP 3-way handshake) can also be enforced per source IP.[...] Because the 3-way handshake ensures that the source address is not being spoofed, more aggressive action can be taken based on these limits.

      Donc il ne considère que les connexions qui ont fait syn, syn/ack, ack et pour spoofer ça c'est tout de suite plus compliqué.
      
      Par ailleurs le port-knocking ne règle pas le problème, ce n'est qu'une couche d'obfuscation en plus qui ne vaut pas mieux qu'un mot de passe en clair.

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

• # swatch ...

  Posté par Bruno (site web personnel) le 31 octobre 2006 à 12:35. Évalué à 2.

  

  Pour ma part, pour déclencher des actions sur certaines lignes dans les logs, j'utilise swatch, et dès que j'ai un "invalid user" détecté, l'ip de l'utilisateur est ajoutée dans les ip à rejeter.
  
  Un tuto est disponible ici (adaptable pour pas mal d'OS je suppose, ça fonctionne très bien sur debian, et j'imagine aussi sur BSD): http://gentoo-wiki.com/HOWTO_Protect_SSHD_with_Swatch

  • [^] # Re: swatch ...

    Posté par Bapt (site web personnel) le 31 octobre 2006 à 14:01. Évalué à 4.

    

    dès que j'ai un "invalid user" détecté, l'ip de l'utilisateur est ajoutée dans les ip à rejeter.

    
    J'espère pour toi que tu ne fait jamais de faute de frapper sur ta commande ssh, genre :
    ssh bqpt@bla.blala.bla
    password: ********
    login incorrect
    
    mais qu'est ce que c'est que ce bordel, j'ai le bon password pourtant, ah merde, putain de clavier qwerty... :
    ssh bapt@bla.blabla.bla
    password: ********
    [bapt@blabla.bla]-(~)#
    
    sinon tu ne peux plus te connecter.

    • [^] # Re: swatch ...

      Posté par Jean-Philippe (site web personnel) le 01 novembre 2006 à 13:45. Évalué à 2.

      

      Ben non, il ne s'authentifie pas par mot de passe ;)

    • [^] # Re: swatch ...

      Posté par Krunch (site web personnel) le 01 novembre 2006 à 14:46. Évalué à 2.

      

      Host bla.blala.bla
      User bapt

      dans ~/.ssh/config
      Et l'authentification par mot de passe saynul (et personnellement pour me logguer à distance c'est <F4>bla<tab><enter>, Ion c'est bon).

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

• # SNORT_inline

  Posté par EPROM le 31 octobre 2006 à 14:58. Évalué à 1.

  

  salut, je te conseillerais bien SNORT pour freeBSD
  http://freebsd.rogness.net/snort_inline/
  
  et http://www.snort.org/docs/FreeBSD47RELEASE-Snort-MySQLVer1-3(...)
  contient des références à l'utilisation de ssh

• # Pour Linux

  Posté par Sufflope (site web personnel) le 31 octobre 2006 à 16:34. Évalué à 2.

  

  Y a fail2ban qui est très simple à comprendre donc je ne vous en dirai pas plus :-P Mais au moins si quelqu'un cherche une solution de ce genre pour Linux il a une piste.

  • [^] # Re: Pour Linux

    Posté par FRLinux (site web personnel) le 01 novembre 2006 à 01:16. Évalué à 1.

    

    Fail2ban est un excellent programme mais il serait bien de noter qu'il ne bloque pas les attaques par IPv6.

  • [^] # Re: Pour Linux

    Posté par andeus le 01 novembre 2006 à 04:12. Évalué à 3.

    

    Sinon il doit bien y avoir un moyen de faire quelque chose avec quelques règles iptables, genre un hashlimit pour limiter le nombre de connexions sur le port 22 par ip source, et utiliser le module recent pour DROPer les ip source qui ont dépassées la limite.

    • [^] # Re: Pour Linux

      Posté par FRLinux (site web personnel) le 01 novembre 2006 à 09:40. Évalué à 3.

      

      Oui, voilà d'ailleurs un article de Debian Administration sur le sujet : http://www.debian-administration.org/articles/187

      • [^] # Re: Pour Linux

        Posté par andeus le 01 novembre 2006 à 18:49. Évalué à 2.

        

        Au passage, je vois souvent des "--state NEW", ce qui veut dire utilisation de conntrack, mais y a t'il une différence avec "-p tcp --syn" ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.