Salut journal,
Dans la fedora 4, il y a auditd, qui m'envoie tous les jours un mail avec les résumés de la machine (logins ssh entre autres). Il y a deux jours il s'est averé qu'un polonais attaquait ma machine en essayant de se loguer d'abord en root (ce qui est désactivé dans ssh.conf), puis avec d'autres pseudos bidons. Il faut dire que mon IP est fixe, ce qui lui facilite la tâche. J'ai donc dit à iptables de le dropifier. Et voilà qu'aujourd'hui il en revient un autre ! Tous chez netia, apparemment FAI polonais.
Je vais pas non plus pourrir mes règles iptables, par contre je peux bloquer le sous réseau complet (j'ai besoin de l'accès ssh, mais je vais rarement en pologne).
Vous aussi vous subissez l'attaque des polonais ?
# Lancer tout le temps ssh ?
Posté par Pinaraf . Évalué à -7.
N'est-ce pas mieux de le lancer uniquement quand tu sais qu'il sera nécessaire (vu qu'en plus il semblerait que ce soit toi qui l'utiliseras...) ?
[^] # Re: Lancer tout le temps ssh ?
Posté par totof2000 . Évalué à 4.
ssh, c'est pas le truc qui permet de se connecter a distance?
Quel est donc l'intérêt du ssh si je dois me connecter sur la machine pour pouvoir ensuite me connecter à distance?
Et s'il doit se connecter depuis un autre site?
[^] # Re: Lancer tout le temps ssh ?
Posté par Pinaraf . Évalué à 4.
Mais c'est vrai ça ne supprimera pas les attaques.
[^] # Re: Lancer tout le temps ssh ?
Posté par Olivier Guerrier . Évalué à 4.
[^] # Re: Lancer tout le temps ssh ?
Posté par jigso . Évalué à 5.
La page du man : http://www.zeroflux.org/cgi-bin/cvstrac/knock/wiki(...)
[^] # Re: Lancer tout le temps ssh ?
Posté par Sébastien Koechlin . Évalué à 1.
Ca limite l'intérêt de la chose.
[^] # Re: Lancer tout le temps ssh ?
Posté par Christophe Chailloleau-Leclerc . Évalué à 2.
[^] # Re: Lancer tout le temps ssh ?
Posté par mitro2 . Évalué à 0.
- Le client envoie un paquet TCP SYN qui contient des valeurs particulières sur le port 80 du serveur.
- En recevant ce paquet particulier, le serveur lance sshd sur un port précis.
- Le client lance une session ssh sur ce port précis.
- A la fin de la session, le serveur arrête sshd.
Avantages:
- le port 22 n'est pas en écoute sur le serveur, et sans connaître les caractéristiques du paquet qui "réveille" sshd, impossible de se douter que l'on peut se connecter au serveur en ssh.
- c'est plus simple que "ping 3 fois, connection sur port x, ping 2 fois, sauter sur un pied, etc"
La bonne nouvelle est qu'on peut faire ça tout simplement avec un petit script en perl, tout est expliqué ici:
http://www.hsc.fr/ressources/breves/secretssh.html.fr(...)
L'auteur du journal éviterait ainsi de chercher à "dropifier" des réseaux entiers et de trembler à l'idée que son sshd se fait harceler sans arrêt.
[^] # Re: Lancer tout le temps ssh ?
Posté par mitro2 . Évalué à 0.
[^] # Re: Lancer tout le temps ssh ?
Posté par arapaho . Évalué à 2.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 4.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Lancer tout le temps ssh ?
Posté par TuxPierre . Évalué à 3.
Tu actives le serveur sur ta machine distante et tu lui indiques quelle devra etre la "sequence de démarrage" du service que tu souhaites lancer (par exemple, 3 paquets TCP venant d'une IP particuliere et avec des numeros de séquence particuliers..). Et pour ne pas te prendre la tete, il y a un client qui te permet de générer au poil ces paquets.
Ca peut te permettre de ne lancer sshd que lorsque c'est nécessaire.
Cependant si tu souhaites éviter toutes ses "attaques", tu peux deja faire en sorte de n'accepter que les connexions par clé publique... Et la je peux te dire que tu vas dégager beaucoup de monde.
# Et aussi...
Posté par rahan . Évalué à 5.
C'est un vers, tu risques de voir souvent ce genre de scan dans tes logs.
# Virus?
Posté par JoeltheLion (site web personnel) . Évalué à 4.
http://linuxfr.org/~dark_star/18379.html(...)
# Commentaire supprimé
Posté par Anonyme . Évalué à 5.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Port Knocking ?
Posté par Obsidian . Évalué à 5.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Port Knocking ?
Posté par jigso . Évalué à 2.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Port Knocking ?
Posté par David Sporn (site web personnel) . Évalué à 2.
ABHORRER, verbe trans.
Emploi trans. Avoir pour une personne ou une chose une antipathie telle qu'on ne saurait la voir ou y penser sans éprouver un frémissement et un mouvement tendant à s'en éloigner ou à l'éloigner.
[^] # Re: Port Knocking ?
Posté par THE_ALF_ . Évalué à 4.
[^] # Re: Port Knocking ?
Posté par Nap . Évalué à 3.
# Change de port par défaut!!
Posté par Jean-Luc Henry . Évalué à 5.
Voici une solution simple et efficace pour ne plus avoir ces petits désagréments (surtout chiants pour les logs).
Plutôt que d'utiliser le port 22 passe au port 2222 par exemple.
mes 2 roupies
[^] # Re: Change de port par défaut!!
Posté par Jean-Luc Henry . Évalué à 2.
Bon avant toute critique, il est vrai que ceci n'est pas applicable pour tous les protocoles. Si tu es le seul à te connecter sur le serveur c'est cool, tu fais ce que tu veux, mais dès que des personnes extérieurs doivent s'y connecter ceci complique les choses (c'est d'ailleurs pour cette dernière raison que les ports par défaut existent).
.... mes 2 yens
[^] # Re: Change de port par défaut!!
Posté par Adrien BUSTANY (site web personnel) . Évalué à 1.
Merci pour toutes vos réponses :-)
[^] # Re: Change de port par défaut!!
Posté par Sylvain Sauvage . Évalué à 2.
# Est-ce.. est-ce hache?
Posté par Lol Zimmerli (site web personnel, Mastodon) . Évalué à 10.
La gelée de coings est une chose à ne pas avaler de travers.
[^] # Re: Est-ce.. est-ce hache?
Posté par qstone . Évalué à -2.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
# Et ?
Posté par ckyl . Évalué à -1.
Le problème :
Quelqu'un, quelque chose en réalité, cherche à exploiter des couples login/mot de passe faibles sur toutes les machines de la planète. Alors de deux choses l'une. Ou ta machine est vulnérable et dans ce cas la changer de port ou faire du port knocking, qui sert a rien mais est à la mode, ne changera rien. Au mieux tu réduis la fenêtre de temps ou tu es vulnérable. Super ! La solution ne serait elle pas simplement de faire que ta machine ne soit pas vulnérable ? [1]
Si ta machine est pas vulnérable qu'est ce que cela peut bien te faire ? Porte plainte, harcèle abuse mais changer ton démon de port ne reglera rien.
C'est aussi bête que de mettre son apache sur le 34590 par ce que y'a des méchants vers qui cherchent des failles IIS ou ton smtp en openrelay sur le 7975 pour éviter les spammeurs. Mauvaise réponse à la question...
[1] Mot de passe corrects c'est aussi basique que cela. Chaque tentative correspond à 3 ou 4 mot de passe par login ! Faudrait *vraiment* pas avoir de bol
Note: Si la sécurité de ta machine était importante tu aurais constaté que ca a commencé à se propager réellement y'a plus de 12 mois...
[^] # Oui et non
Posté par Jean-Luc Henry . Évalué à 2.
Quand aux correctifs et autres patchs, OUI il faut les appliquer en premier lieu et régulièrement, mais rien ne te garantie que les vers et autres attaques utilisent des failles connues et corrigés!
Oui je sais que par moment c'est une simple tentative de login/mot de passe à la con, mais rien ne te garantie que demain ne va pas sortir une faille et que quelques script kiddies vont l'utiliser dans leurs vers.
Donc ne pas utiliser les ports par défaut pour des applications sensibles comme un serveur d'administration a distance me semble être un complément nécessaire.
De plus tu ne seras pas impacté par des lignes de logs à la con.
Mais oui comme je le disais dans un autre commentaire, ce genre de technique ne fonctionne pas pour tout! Dès lors que les services ont des accés publiques ce genre de technique n'est plus applicable!
[^] # Re: Et ?
Posté par M . Évalué à 3.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
# ipt_recent
Posté par Mr_Moustache . Évalué à 6.
C'est efficace, mais attention de ne pas se faire prendre à son propre jeu.
Pour éviter de se bannir soit même, on peut utiliser le port knocking pour se débannir ou créer une table des IP bannies que l'on vide toutes les heures, mais bon, ça ne me dérange pas plus que ça pour l'instant.
Voilà les lignes qui vont bien dans mon rc.firewall pour cette technique:
[^] # Re: ipt_recent
Posté par M . Évalué à 1.
[^] # Re: ipt_recent
Posté par Mr_Moustache . Évalué à 2.
Je vais faire des tests pour voir ce que ça peut donner...
[^] # Re: ipt_recent
Posté par M . Évalué à 5.
[^] # Re: ipt_recent
Posté par Adrien BUSTANY (site web personnel) . Évalué à 1.
[^] # Re: ipt_recent
Posté par Arnaud Da Costa . Évalué à 1.
Je plusse.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.