Forum Linux.général sshd : c'est quoi ces logs ?

Posté par  .
Étiquettes : aucune
0
7
jan.
2005
Bonjour,

j'ai sshd qui tourne sur mon PC,
j'ai donc mon port 22 grand ouvert.

Voici un extrait de auth.log :


- POSSIBLE BREAKIN ATTEMPT!
Jan 6 22:50:24 localhost sshd[15489]: User nobody not allowed because none of user's groups are listed in AllowGroups
Jan 6 22:50:24 localhost sshd[15489]: error: Could not get shadow information for NOUSER
Jan 6 22:50:24 localhost sshd[15489]: Failed password for illegal user nobody from 61.247.253.110 port 34391 ssh2
Jan 6 22:50:30 localhost sshd[15491]: Illegal user patrick from 61.247.253.110
Jan 6 22:50:30 localhost sshd[15491]: reverse mapping checking getaddrinfo for dsl-chn-110.253.247.61.touchtelindia.net failed
(...)
- POSSIBLE BREAKIN ATTEMPT!
Jan 6 22:54:49 localhost sshd[15599]: User root not allowed because listed in DenyUsers
Jan 6 22:54:49 localhost sshd[15599]: error: Could not get shadow information for NOUSER
Jan 6 22:54:49 localhost sshd[15599]: Failed password for illegal user root from 61.247.253.110 port 42908 ssh2
Jan 6 22:54:55 localhost sshd[15602]: reverse mapping checking getaddrinfo for dsl-chn-110.253.247.61.touchtelindia.net failed


Bon je vois qu'apparemment qqn essaie de se connecter chez moi,
mais j'aimerais avoir quelques précsions...
- il essaie plein de lignes comme ca, avec ports et user qui changent, donc c'est surement fait automaquement non ?
- pourquoi ca n'essaie pas sur le port 22 (port par défaut de SSH) ?
- pourquoi moi ?? J'ai une IP fixe, mais ca prend des IP au hasard comme ca ??
- que signifie la ligne " reverse mapping checking getaddrinfo..." ?
- que peut-il se passer exactement si ca tombe sur un user autorisé à se connecter par ssh ?
- vous semble-t'il opportun de mettre une règle dans mon firewall pour chaque IP qui essaie de se connecter comme ca (au risque que ce soient pas des IP fixes...) ?

Voilà merci d'avance, c'est pas toujours facile de tout comprendre
et de savoir quoi faire, et s'il faut s'inquiéter ou pas...

  • # explications logs ssh

    Posté par  . Évalué à 6.

    - il essaie plein de lignes comme ca, avec ports et user qui changent, donc c'est surement fait automaquement non ?

    sans doute oui

    - pourquoi ca n'essaie pas sur le port 22 (port par défaut de SSH) ?

    C'est bien le port 22 qu'il utilise tout le tps, sinon il ne se connecterait pas à sshd :)
    Le port indiqué dans les logs correspond au port distant, sur lequel tu lui envoies les données.

    - pourquoi moi ?? J'ai une IP fixe, mais ca prend des IP au hasard comme ca ??

    Pas forcément "au hasard", il scanne (voir un peu plus si affinités) plutôt une plage d'IP données.

    - que signifie la ligne " reverse mapping checking getaddrinfo..." ?

    A priori, il vérifie qu'en faisant un reverse sur l'ip (pour avoir le nom), puis qu'on résolvait ce nom fourni, on retombait bien sur l'ip de départ:

    - que peut-il se passer exactement si ca tombe sur un user autorisé à se connecter par ssh ?

    Il est invité à saisir un mot de passe, ou sinon tu as configuré ton ssh pour n'accepter que les connexions par clé, à se connecter avec une clé.

    - vous semble-t'il opportun de mettre une règle dans mon firewall pour chaque IP qui essaie de se connecter comme ca (au risque que ce soient pas des IP fixes...) ?

    Oui, mais je pense pas que cela change grand chose, tu te feras attaquer d'autre part./

    Il me semble plus opportunt de mettre une règle qui n'autorise le ssh que depuis certains endroits identifiés (même depuis une ip dynamique, un petit script qui vérifie régulièrement la valeur d'un dyndns donné, qui met à jour iptables et hop :)

    Tu peux également changer ton ssh de port.

  • # Mes stats...

    Posté par  . Évalué à 3.

    IP fixe, connecté en permanence; sur 1 semaine de logs:

    grep "Failed password" /var/log/auth.log.0 | wc -l
    743

    grep "Illegal user" /var/log/auth.log.0 | wc -l
    323
    (dont un "patrick", aussi :) )

    Les scans de ce genre, ça n'arrete pas, et tout le monde y passe. De temps en temps je regarde les logs et j'envoie un mail à abuse@ de l'ISP correspondant... Mais bon, mieux vaut avoir un mot de passe robuste, un nom d'utilisateur pas trop banal, ou comme suggéré au dessus, changer le port par défaut de ssh.

    • [^] # Re: Mes stats...

      Posté par  (site web personnel) . Évalué à 2.

      Mais bon, mieux vaut avoir un mot de passe robuste, un nom d'utilisateur pas trop banal, ou comme suggéré au dessus, changer le port par défaut de ssh.

      Bof, mieux vaut se faire une clef RSA/DSA 1024bit pour se connecter et utiliser un agent a clefs... les pirates pourront toujours tenter de casser le challenge echangé entre le serveur et toi.

      Voir les man pages de ssh-keygen, ssh-add sous Unix. Sous windows, on trouve le couple putty/pageant et le generateur de clef dont j'ai oublié le nom.

      De plus grosse bénéfice c'est qu'on tape son mot de passe en local pour decrypter sa clef privée, puis ensuite on le retappe plus jamais pour se connecter aux hosts distants puisque c'est l'agent de clefs qui fait la negociation du challenge. Et meme pour les gros paranos, l'agent peut etre mis en mode "forward" qui fait que si tu te connectes en ssh a partir d'un host distant où tu es connecté en ssh, et bien le challenge se ballade jusqu'a ton host local pour que ta clef privé n'ait pas à se trouver sur différents hosts.

  • # c'est pas bien grave

    Posté par  . Évalué à 3.

    - vous semble-t'il opportun de mettre une règle dans mon firewall pour chaque IP qui essaie de se connecter comme ca (au risque que ce soient pas des IP fixes...) ?
    A moins d'un cas de récidive, je te le déconseille. Tu pourrais effectivement tomber sur des IPs dynamiques que tu risquerais d'avoir à utiliser toi-même (si t'es chez un ami par exemple).

  • # see also

    Posté par  (site web personnel) . Évalué à 4.

    http://undeadly.org/cgi?action=article&sid=20041231195454&m(...)
    Il y avait un journal de seconde page il y a quelques jours sur le sujet (titré "entrez c'est ouvert" ou un truc comme ça) mais impossible de remettre la main dessus.

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # Configuration de sshd

    Posté par  (site web personnel) . Évalué à 2.

    Bonjour,

    est-tu obligé de laisser le port ssh ouvert du coté Internet ? Tu peux modifier le /etc/sshd/sshd.conf afin de restreindre l'accès à ton serveur SSH sur seulement quelques interfaces réseau (ton interface réseau locale par exemple). Cela se configura avec l'option "Listen". Tu as plus d'nformations sur cette page de mon site : http://olivieraj.free.fr/fr/linux/information/firewall/fw-02-05.html

    Tu peux aussi restreindre le nom des utilisateurs autorisé à se connecter sur la machine. Avec l'option "AllowUsers gregolak", seul cet utilisateur pourra se connecter au serveur. "man sshd.conf" pour plus d'infos.

    Une (bonne) idée, souvant débattue sur les forums, et d'interdir au root de se connecter à distance : "PermitRootLogin no" ("man sshd.conf" pour plus d'infos). Combiné à "AllowUsers gregolak", cela va t'obliger de te connecter en temps que "gregolak" sur la machine, puis de faire un "su -" pour passer en root. C'est un bourrin, mais beaucoup plus sécurisé.

  • # merci

    Posté par  . Évalué à 1.

    Merci pour vos réponses,

    root est déjà dans mes DenyUsers, et seuls les
    users utiles sont dans allowedUsers ; je vais
    me contenter de changer le port 22 et puis ne
    plus m'en faire... Enfin quand même ce Patrick ;-)





Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.