http://blog.kryskool.org/index.php/ Mon blog fr KrysKool.org &copy; http://blogs.law.harvard.edu/tech/rss DotClear http://blog.kryskool.org/index.php/post/2008/12/01/Marre-des-tentatives-dintrusion-en-ssh-dans-vos-log urn:md5:b0391a7eae66f0566c215a489b6f28a9 Mon, 01 Dec 2008 23:13:00 +0100 KrysKool linux debianiptablesport knockingsshubuntu Si vous lisez régulièrement vos logs de vos serveurs, vous avez surement remarqué qu'il se remplissent de plus en plus souvent avec des tentatives de connexion en ssh (port 22), ce sont des bots qui essai de pénétrer votre serveur a l'aide de dictionnaire et de compte non sécurisé. Pour bloquer ses tentatives vous utilisez sans doute déjà Fail2Ban qui blacklist via IpTables l'ip qui a loupé ses tentatives (3 fois par défaut), d'ailleurs vous avez surement pester dessus les journées ou vous avez de gros doigts :), fail2ban a la facheuse tendance a envoyé un mail à chaque tentative, depuis quelques semaines il est surement devenu votre spammer favori, pourtant une autre solution existe, c'est de ne rendre le port ssh visible seulement après avoir exécuter un rituel, cela s'appelle le port knocking. <p>Si vous lisez régulièrement vos logs de vos serveurs, vous avez surement remarqué qu'il se remplissent de plus en plus souvent avec des tentatives de connexion en ssh (port 22), ce sont des bots qui essai de pénétrer votre serveur a l'aide de dictionnaire et de compte non sécurisé. Pour bloquer ses tentatives vous utilisez sans doute déjà Fail2Ban qui blacklist via IpTables l'ip qui a loupé ses tentatives (3 fois par défaut), d'ailleurs vous avez surement pester dessus les journées ou vous avez de gros doigts :), fail2ban a la facheuse tendance a envoyé un mail à chaque tentative, depuis quelques semaines il est surement devenu votre spammer favori, pourtant une autre solution existe, c'est de ne rendre le port ssh visible seulement après avoir exécuter un rituel, cela s'appelle le port knocking.</p> <p>Voici la définition Wikipédia du port knocking</p> <blockquote><p>Le port-knocking est une méthode permettant de modifier le comportement d'un firewall en temps réel en provoquant l'ouverture de ports permettant la communication, grâce au lancement préalable d'une suite de connexions sur des ports distincts dans le bon ordre, à l'instar d'un code frappé à une porte.</p> <p> Cette technique est notamment utilisée pour protéger l'accès au port 22 dédié au Secure shell (SSH), elle ne nécessite pas beaucoup de ressources et reste facile à mettre en œuvre. En 2008, cette technique n'est pas encore largement adoptée par la communauté informatique, mais elle a déjà été intégrée dans certains rootkits.</p></blockquote> <h2>coté serveur</h2> <p>Pour cela il existe une service qui permet de faire du port knocking <a href="http://portknocking.org/" hreflang="en" title="knockd">knockd</a></p> <p>sous Debian et dérivé, faite juste un</p> <pre># apt-get install knockd</pre> <p>editer le fichier /etc/knockd.conf et changer la séquence par défaut</p> <p>redemarez le service via</p> <pre># invoke-rc.d knockd restart</pre> <h2>coté client</h2> <p>Pour vous connectez a votre serveur en ssh direct, cela sera impossible, car knockd veille au grain. il vous faut également installe knockd coté client, puis exécuter la ligne ci dessous.</p> <pre>$ knock mon_serveur 7000 8000 900</pre> <p>Vous changerez bien sur la séquence de port et mettrez celle que vous avez choisi. ensuite vous avez un laps de temps définit par la variable <strong>cmd_timeout</strong> pour vous connecter avec ssh. passer ce delai les nouvelles connexions ssh seront refusés, mais celle déjà établit resterons.</p> http://blog.kryskool.org/index.php/post/2008/12/01/Marre-des-tentatives-dintrusion-en-ssh-dans-vos-log#comment-form http://blog.kryskool.org/index.php/post/2008/12/01/Marre-des-tentatives-dintrusion-en-ssh-dans-vos-log#comment-form http://blog.kryskool.org/index.php/feed/rss2/comments/52