PDA

Afficher la version complète : [Réglé] attaques sur serveur ssh



stagolee
10/12/2006, 21h58
Bonjour!
J'utilise ma suse comme serveur de fichiers grace à ssh. Mon but est d'avoir accès aux données du serveur depuis n'importe où sur le net. J'utilise en général winscp pour me connecter depuis l'extérieur, avec une authentification de type login+password. ça marche très bien, mais quid de la sécurité?
j'ai regardé dans mon var/log/messages les évènements relatifs à ssh, et c'est flippant : des miliers d'attaques de cette forme


Dec**3 03:56:56 linux-8ju4 sshd[2338]: Invalid user alba from 125.129.62.69
Dec**3 03:56:56 linux-8ju4 sshd[2338]: Invalid user alba from 125.129.62.69
Dec**3 03:56:58 linux-8ju4sshd[2346]: Invalid user alba from 125.129.62.69
Dec**3 03:57:06 linux-8ju4 sshd[2378]: Invalid user squid from 125.129.62.69
Dec**3 03:57:08 linux-8ju4 sshd[2386]: Invalid user squid from 125.129.62.69
Dec**3 03:57:11 linux-8ju4 sshd[2397]: Invalid user squid from 125.129.62.69
Dec**3 03:57:13 linux-8ju4 sshd[2405]: Invalid user fflores from 125.129.62.69
Dec**3 03:57:16 linux-8ju4sshd[2417]: Invalid user fflores from 125.129.62.69
Dec**3 03:57:19 linux-8ju4 sshd[2430]: Invalid user fflores from 125.129.62.69
Dec**3 03:57:21 linux-8ju4 sshd[2438]: Invalid user pepe_new from 125.129.62.69
Dec**3 03:57:24 linux-8ju4 sshd[2449]: Invalid user pepe_new from 125.129.62.69
Dec**3 03:57:26 linux-8ju4 sshd[2457]: Invalid user pepe_new from 125.129.62.69
Dec**3 03:57:29 linux-8ju4 sshd[2468]: Invalid user pepe from 125.129.62.69
Dec**3 03:57:31 linux-8ju4 sshd[2476]: Invalid user pepe from 125.129.62.69
Dec**3 03:57:34 linux-8ju4 sshd[2491]: Invalid user pepe from 125.129.62.69
et j'en passe des camions entiers!

- y a t il un risque, ou est-ce juste un Kevin qui s'essaie au brute force ?
- Si oui comment sécuriser l'authentification?
- Que faire sans que l'utilisation de ce serveur ne soit trop lourde pour cause d'une politique de sécurité trop stricte, en regard de la valeur des données!?
- autre question stupide, pourquoi essayer pleins de logins alors que le login 'root' est forcément reconnu?
Merci bcp!
Pierre

adminlinux
10/12/2006, 22h11
Salut,

J'utilise aussi ssh, j'ai fais ma config pour que personne puisse s'y logué par mot de passe et interdit l'utilisateur root, seul un utilisateur par authentification pas phrase de pass est autorisé, se qui freine bien des tentative...

devloop
10/12/2006, 22h13
c'est des attaques par dictionnaire qui tentent de trouver des mots de passe faibles
si tes mots de passe ne sont pas trop simple il n'y a pas de réel danger
sinon il existe des scripts qui surveillent les logs et banissent les ips qui font des attaques ssh

stagolee
10/12/2006, 22h23
merci pour vos réponses!
@ adminlinux : j'ai vu pas mal de tutos pour sécuriser vraiment ssh
http://www.csc.liv.ac.uk/~greg/sshdfilter/
http://susewiki.org/index.php?title=Public...cation_with_SSH (http://susewiki.org/index.php?title=Public_Key_Authentication_with_SSH )
, mais je veux quand même donner un accès facilité à ma famille en leur donnant simplement 1 login +mp.

@ devloop : mon mot de passe est composé de chiffres et de lettres, et ne veut rien dire.
<div class='quotetop'>Citation </div>
sinon il existe des scripts qui surveillent les logs et banissent les ips qui font des attaques ssh[/b] as-tu un lien?
Merci!

devloop
10/12/2006, 22h52
le plus connu c'est DenyHost : http://denyhosts.sourceforge.net/

mais on peut trouver un tas de scripts par google avec les mots block ssh attacks (http://www.google.fr/search?hl=fr&q=block+ssh+attacks)

stagolee
10/12/2006, 22h58
le plus connu c'est DenyHost : http://denyhosts.sourceforge.net/

mais on peut trouver un tas de scripts par google avec les mots block ssh attacks (http://www.google.fr/search?hl=fr&q=block+ssh+attacks)[/b]
Merci! je vais regarder ça demain et topo ici même
pour ce soir j'essaie de n'autoriser qu'un utilisateur à se logger en ssh. J'essaie sans succès ça:

rajout dans /etc/ssh/ssh_config

AllowUsers moi
PermitRootLogin no

puis dans console : /etc/init.d/ssh restart

le problème c'est que j'arrive quand même à me logger comme root depuis putty et winscp.
Quoi qui va pas?

stagolee
11/12/2006, 00h11
bon je suis un gros naze! il faut changer le fichier sshd_config (config serveur) et non ssh_config (config client); et là ça marche. J'ai aussi changé le port de ssh, on verra si les attques se poursuivent.

droper
11/12/2006, 13h13
sa a l'aire d'étre un attack par Brutforce donc si tu veux te protégée crée une session avec comme nom a et pour mot de passe a, en general des qu'un mot de passe est trouvée ils stop l'attack si tu ne mais pas de droit sur cette session il sera comptent mais ne poura rien faire sauf si ta configuration est mavaise ou alor la il peu prendre ton /etc/shadow et la il a tout tes mot de passe !! fait gafffe

Copernicus_ThebigNewbie
11/12/2006, 14h20
Y faudrait que je regarde de temps en temps mes logs !!!!!





Ok no probs pour moi ...


Mais bon mon server n'est pas online 24/24 ....

offworld
11/12/2006, 17h17
Evite de suivre le conseil de dropper (lol)

Comme cela a était dit, il n'y a pas de risque avec des bons mots de passe.

S'il ne teste pas le root c'est bien pour ça : PermitRootLogin no

Pour bloquer les tentatives tu peux utiliser fail2ban, qui doit etre inclut dans tes dépots, et qui pourras te servir pour surveiller d'autre auth (apache, vsftp, ...)

stagolee
11/12/2006, 21h43
sa a l'aire d'étre un attack par Brutforce donc si tu veux te protégée crée une session avec comme nom a et pour mot de passe a, en general des qu'un mot de passe est trouvée ils stop l'attack si tu ne mais pas de droit sur cette session il sera comptent mais ne poura rien faire sauf si ta configuration est mavaise ou alor la il peu prendre ton /etc/shadow et la il a tout tes mot de passe !! fait gafffe[/b]

hello droper, j'essaie de comprendre ce que tu veux me faire faire, mais c'est reuche! p't1 j'ai rien compris en fait! (l'aurtograf i fé poure bocou)
En gros, si un naze fait du bruteforce, tu veux que je lui ouvre la porte, mais je lui dit de rester bien gentiment sur la palier... ? http://www.alionet.org/style_emoticons/<#EMO_DIR#>/blink.gif seulement as-tu pensé un instant qu'il pourrait s'agir d'un témoin de jéhovah?? http://www.alionet.org/style_emoticons/<#EMO_DIR#>/laugh.gif
En tous cas merci pour etc/shadow, je ne connaissais pas ce fichier. Les logins sont en clair, mais les mp sont quand même cryptés.
+

perso258741
12/12/2006, 16h16
Hello !
Ayant eu le meme problème j'avais fait quelques recherches sur le net et trouvé un tutoriel qui permet de bloquer une adresse IP apres par exemple 5 échecs de connexions de celle ci. Je l'ai adapté à la Suse (la 10.0 ou la 9.3 je ne sais plus...) et il a été repris dans l'aliowiki ; voici le lien :

Blacklister les intrus ssh (http://wiki.alionet.org/doku.php?id=blacklist_ssh)

Je ne pense qu'il fonctionne toujours sur une SuSE 10.1 ou 10.2. Bon courage !

Clark
12/12/2006, 18h46
alor la il peu prendre ton /etc/shadow et la il a tout tes mot de passe !! fait gafffe[/b]
Les mots de passe sont brouillés par une surjection anisomorphe et donc non reconstituables. Pour les authentifications locales, les mots de passe ne sont pas évalués directement : le système calcule l'image du mot de passe soumis et la compare avec celle stockée dans /etc/shadow.
cqfd

droper
12/12/2006, 21h01
il y a un programme du nom de John The ripper qui peux te decodée touts les mots de passes pressant dasn etc/shadow et j'en suis sur car je l'ai les utilisée par le passée

Clark
12/12/2006, 22h18
Le logiciel que tu cites est un logiciel d'attaque par dictionnaires qui procède par comparaison d'images via différents protocoles : c'est gourmand en ressources CPU, long, et surtout il ne s'agit en aucun cas de décryptage !
Je maintiens donc ce que j'ai dit. Et prenez des mots de passe pas trop idiot comme le nom de votre petite amie...
Par exemple, un bon moyen pour les distraits comme moi est de prendre des phrases complètes.

Temet
13/12/2006, 08h34
M'en fous, je suis célibataire http://www.alionet.org/style_emoticons/<#EMO_DIR#>/wink.gif

J'avoue le mot de passe de mon laptop est plus simple car ... j'ai pas eu envie de me faire chier avec les chiffres sans pavé numérique ^^

adminlinux
13/12/2006, 09h21
laptop et bureau, mot de pass 5letters et 5 chifre, le tous mélangé, sa freine vachement...

si non comme mot de pass pour une meilleur protection c'est le nom de la session.. http://www.alionet.org/style_emoticons/<#EMO_DIR#>/laugh.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/arrow.gif

offworld
13/12/2006, 10h32
Temet, si tu utilises kde ou gnome, rien ne t'empeche de mettre un gros mot de passe et un login automatique, ca te protegeras des attaques exterieur.

Temet
13/12/2006, 11h33
Login automatique???? M'enfin, je suis pas sous Windows http://www.alionet.org/style_emoticons/<#EMO_DIR#>/wink.gif
Nan mais c'est quand même un ""mot"" qui n'existe pas et d'une longueur respectable (une dizaine de caractères http://www.alionet.org/style_emoticons/<#EMO_DIR#>/wink.gif)

farvardin
17/12/2006, 15h40
le login automatique ssh, c'est par clé RSA et c'est plutôt sûr comme procédé. (edit : j'ai vu qu'en fait la dernière remarque était pour se connecter au bureau en local...)
Par contre le coup de l'accès login "a" avec mot de passe "a" n'est vraiment pas à recommander, d'ailleurs s'il arrive à se connecter ainsi, il va pouvoir envoyer des scripts d'attaque automatique vers d'autres serveurs depuis ta machine, et légalement c'est toi qui en subira les conséquences !

Sinon changer de port c'est pas mal, cela diminuera une partie des attaques car par défaut c'est le port 22 qui est visé (en gros il y aura autant d'attaque, mais moins qui seront loggées pour rien.

Dans ta crontab, tu peux également ajouter un script de ce genre (si ton serveur logge les accès à cet endroit)


cat /var/log/secure**| grep Accepted | awk -F' ' '{print $1" "$2" "$9}' | uniq -u | mail tonadresse s "Loggin Report"

Ou le faire à la main en retirant la partie mail.
tu verras ainsi qui s'est loggé dans une période donnée

devloop
24/06/2009, 12h14
y0p

Je viens de tomber sur cet article, bloquer les attaques ssh par le firewall suse :
http://lizards.opensuse.org/2009/06/22/sto...g-susefirewall/ (http://lizards.opensuse.org/2009/06/22/stop-ssh-brute-force-attack-using-susefirewall/)

Agemen
24/06/2009, 13h08
parlant de ça, quelqu'un a une bonne doc sur susefirewall?

bibi
25/06/2009, 08h39
Merci pour le dernier lien.

Bibi

Burn2
25/06/2009, 18h35
Merci pour le lien, bien que j'avais installé fail2ban qui fait la même chose.