http://hibbert.univ-lille3.fr/~cbellegarde/fw.sh
Ayant marre de voir mes logs pourris de connexion ssh (invalid user toto, ...), j'ai fait ce petit script qui bloque les ips des "méchants"...
Pour l'utiliser, il faut rajouter une table à la conf de pf:
table <scriptkiddies> { }
et la regle magique:
block in on $Internet proto tcp from <scriptkiddies> to any
Il faut aussi rajouter ca dans la conf de syslog
auth.info /var/log/fwauth
Je le lance ensuite via un crontab:
* * * * * /usr/local/sbin/fw.sh
J'aurai bien voulu faire de l'analyse en direct du fichier de log mais probleme, cat /var/log/authlog | grep quelquechose | while read ne semble pas fonctionner avec ksh :( Donc, les logs sont analysés toutes les minutes.
# denyhosts
Posté par Aurélien Bompard (site web personnel) . Évalué à 5.
# port != 22
Posté par ribwund . Évalué à 9.
[^] # Re: port != 22
Posté par FRLinux (site web personnel) . Évalué à 1.
Steph
# démon
Posté par BAud (site web personnel) . Évalué à 3.
(donc en mode démon) ça marcherait mieux non ? (plutôt que de retraiter un /var/log/messages qui ne fait que grossir avant d'avoir fini le traitement précédent...)
et sinon tu peux utiliser /var/log/auth.log il me semble... et utilise plutôt gawk (ou perl) qui est plus adapté à ce genre de traitements...
[^] # Re: démon
Posté par Aurélien Bompard (site web personnel) . Évalué à 2.
[^] # Re: démon
Posté par Miod in the middle . Évalué à 1.
[^] # Re: démon
Posté par Lucas Bonnet . Évalué à 1.
# GCU tips
Posté par Bapt (site web personnel) . Évalué à 6.
[^] # Re: GCU tips
Posté par gnumdk (site web personnel) . Évalué à 2.
Bon, la prochaine fois, je passe ici poser ma question plutot que de me faire chier à faire un script ;)
Merci beaucoup!
[^] # Re: GCU tips
Posté par chl (site web personnel) . Évalué à 3.
[^] # Re: GCU tips
Posté par djibb (site web personnel) . Évalué à 3.
[^] # Re: GCU tips
Posté par legranblon (site web personnel) . Évalué à 3.
http://en.wikipedia.org/wiki/Port_knocking
http://portknocking.org/view/implementations
[^] # Re: GCU tips
Posté par gnumdk (site web personnel) . Évalué à 2.
De toute facon, m'en fou, j'ai plein de "moyens" pour me connecter chez moi ;)
[^] # RTFM
Posté par Krunch (site web personnel) . Évalué à 2.
Donc il ne considère que les connexions qui ont fait syn, syn/ack, ack et pour spoofer ça c'est tout de suite plus compliqué.
Par ailleurs le port-knocking ne règle pas le problème, ce n'est qu'une couche d'obfuscation en plus qui ne vaut pas mieux qu'un mot de passe en clair.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# swatch ...
Posté par Bruno (site web personnel) . Évalué à 2.
Un tuto est disponible ici (adaptable pour pas mal d'OS je suppose, ça fonctionne très bien sur debian, et j'imagine aussi sur BSD): http://gentoo-wiki.com/HOWTO_Protect_SSHD_with_Swatch
[^] # Re: swatch ...
Posté par Bapt (site web personnel) . Évalué à 4.
J'espère pour toi que tu ne fait jamais de faute de frapper sur ta commande ssh, genre :
ssh bqpt@bla.blala.bla
password: ********
login incorrect
mais qu'est ce que c'est que ce bordel, j'ai le bon password pourtant, ah merde, putain de clavier qwerty... :
ssh bapt@bla.blabla.bla
password: ********
[bapt@blabla.bla]-(~)#
sinon tu ne peux plus te connecter.
[^] # Re: swatch ...
Posté par Jean-Philippe (site web personnel) . Évalué à 2.
[^] # Re: swatch ...
Posté par Krunch (site web personnel) . Évalué à 2.
Et l'authentification par mot de passe saynul (et personnellement pour me logguer à distance c'est <F4>bla<tab><enter>, Ion c'est bon).
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# SNORT_inline
Posté par EPROM . Évalué à 1.
http://freebsd.rogness.net/snort_inline/
et http://www.snort.org/docs/FreeBSD47RELEASE-Snort-MySQLVer1-3(...)
contient des références à l'utilisation de ssh
# Pour Linux
Posté par Sufflope (site web personnel) . Évalué à 2.
[^] # Re: Pour Linux
Posté par FRLinux (site web personnel) . Évalué à 1.
[^] # Re: Pour Linux
Posté par andeus . Évalué à 3.
[^] # Re: Pour Linux
Posté par FRLinux (site web personnel) . Évalué à 3.
[^] # Re: Pour Linux
Posté par andeus . Évalué à 2.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.