Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 06/08/2005, à 13:04

Gillaume

[ Résolu ] Sécuriser serveur openSSH ..

J'ai besoin de vos conseils pour sécuriser mon serveur SSH.
la seule directive que j'arrive à retoucher, c'est

Allowusers gui

pour la sécurité avec listenadress, je ne comprends pas pkoi ça ne fonctionne pas....

j'ai ce message

error: Bind to port 22 on ::ffff:84.4.191.41 failed: Cannot assign requested address.

et cela que je mette l'adresse du routeur de mon boulot, ou autre ..

ça ne fonctionne qu'avec 127.0.0.1 ...

si vous avez des idées, des sites intéressant, je suis preneur.
merci

Dernière modification par Gillaume (Le 13/08/2005, à 00:21)


Guili Guili

Hors ligne

#2 Le 06/08/2005, à 14:43

Uggy

Re : [ Résolu ] Sécuriser serveur openSSH ..

Gillaume a écrit :

et cela que je mette l'adresse du routeur de mon boulot, ou autre ..

euhhhh.. il faut mettre une IP de la machine sur lequel tourne ton sshd quand meme..

Hors ligne

#3 Le 06/08/2005, à 15:44

Gillaume

Re : [ Résolu ] Sécuriser serveur openSSH ..

C'est a dire Uggy ???
listenadress 127.0.0.1
puis l' IP distante ???
C'est ça ?


Guili Guili

Hors ligne

#4 Le 06/08/2005, à 16:01

Uggy

Re : [ Résolu ] Sécuriser serveur openSSH ..

* ListenAddress 192.168.0.1
      Ne faîtes écouter ssh que sur une interface donnée, juste au cas où vous en avez plus d'une (et ne voulez pas que ssh y soit disponible) ou si vous ajoutez, dans le futur, une nouvelle carte réseau (et ne voulez pas de connexions ssh dessus).

Autrement dit, ca ne sert pas a autoriser certaines Ips a se connecter a ton serveur SSH (j'ai l'impression que c'est ce que tu pensais?)..

si vous avez des idées, des sites intéressant, je suis preneur.

commence par la smile
http://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.fr.html

Hors ligne

#5 Le 06/08/2005, à 16:20

Gillaume

Re : [ Résolu ] Sécuriser serveur openSSH ..

Je comprends pas ce que tu dis.
Désolé ... smile

J'ai l'adresse de mon boulot, d'ou je me connecte.
193.24.12.56

comment fais je ?
merci Uggy

ps : je n'ai pas de carte réseau sur mon serveur.


Guili Guili

Hors ligne

#6 Le 06/08/2005, à 17:22

Gillaume

Re : [ Résolu ] Sécuriser serveur openSSH ..

je suis pas d'accord, je pense pas que tu aies raison.

Dans ces cas là, je ne peux pas mettre de valeur sur "listenadress", puisque je n'ai pas de carte réseau.
et en plus, bien sur, mon ip change a chaque fois que je me connecte.

pour moi, "listenadress" veut dire que la connexion est attendu, venant de cette adresse !


Guili Guili

Hors ligne

#7 Le 06/08/2005, à 17:25

Uggy

Re : [ Résolu ] Sécuriser serveur openSSH ..

Déja que j'ai du mal a comprendre ton problème..
...et la maintenant tu me dis que ton serveur n'est pas en réseau ???

Soit très très clair sur :
- ce que tu as (config etc..)
- ce que tu veux faire..
- ce qui marche pas

Merci smile

Hors ligne

#8 Le 06/08/2005, à 17:25

Gillaume

Re : [ Résolu ] Sécuriser serveur openSSH ..

je regarde ton site.
Je comprends pas; plus !

Bon, j'ai une autre question, puisque je peux pas sécuriser comme ça ...

est ce possible, de désactiver le serveur ssh, pendant un temps "X" apres 3 tentatives mauvaises ?

merci big_smile


Guili Guili

Hors ligne

#9 Le 06/08/2005, à 17:33

Uggy

Re : [ Résolu ] Sécuriser serveur openSSH ..

Gillaume a écrit :

je suis pas d'accord, je pense pas que tu aies raison.

Bahh ne me crois pas..  tongue c'est pourtant ça..

Gillaume a écrit :

Dans ces cas là, je ne peux pas mettre de valeur sur "listenadress", puisque je n'ai pas de carte réseau.
et en plus, bien sur, mon ip change a chaque fois que je me connecte.

Tu veux dire que tu veux faire tourner un serveur SSH sur une machine connectée en RTC ???

Gillaume a écrit :

pour moi, "listenadress" veut dire que la connexion est attendu, venant de cette adresse !

bahh non..

Hors ligne

#10 Le 06/08/2005, à 17:46

Gillaume

Re : [ Résolu ] Sécuriser serveur openSSH ..

j'ai un modem ADSL ...
Ok, je me trompe, mais bon, je vois trop l'interet de "listenadress" hmm
en fait,

pour moi, "listenadress" veut dire que la connexion est attendu, venant de cette adresse !

C'est une super idée à moi alors !  lol

Uggy
comment bien sécuriser le serveur alors ?

est ce possible, de désactiver le serveur ssh, pendant un temps "X" apres 3 tentatives mauvaises ?

Guili Guili

Hors ligne

#11 Le 06/08/2005, à 18:18

Gillaume

Re : [ Résolu ] Sécuriser serveur openSSH ..

J'ai trouvé ceci

MaxAuthTries

impossible de trouver la signification en FRANCAIS !
si qq la trouve, champagne !
merci
gui

ps : parce que je dois partir now ... big_smile


Guili Guili

Hors ligne

#12 Le 06/08/2005, à 18:41

Gillaume

Re : [ Résolu ] Sécuriser serveur openSSH ..

voila ce que j'aimerais

Par contre je suis surpris de ne pas avoir encore trouvé de solution toute faite et largement utilisée qui blackliste pour 6h l'addresse qui fait plus de 10 tentatives infructueuses en 2 minutes.

je vais changer le port : 5000 par exemple

Dernière modification par Gillaume (Le 06/08/2005, à 18:43)


Guili Guili

Hors ligne

#13 Le 06/08/2005, à 19:06

Uggy

Re : [ Résolu ] Sécuriser serveur openSSH ..

Ok, je me trompe, mais bon, je vois trop l'interet de "listenadress"

Bahh imagine par exemple que  tu as une bécanne avec 2 cartes reseaux qui te sert de Firewall..Il sera sans doute + judicieux de ne faire écouter le démon que sur l'interface coté Lan.....et pas du méchant coté internet...

C'est une super idée à moi alors

Euhh .. j'imagine que les developpeurs se sont dit que cela était le role du FireWall.

est ce possible, de désactiver le serveur ssh, pendant un temps "X" apres 3 tentatives mauvaises ?

Surement.. tu fais un script en cron qui check les logs, et qui au bout de X erreurs, fait un stop du démon..
Par contre je n'ai pas de tel script.. a toi de jouer un peu.. smile

MaxAuthTries
impossible de trouver la signification en FRANCAIS !
si qq la trouve, champagne !

pffff
http://babelfish.altavista.com/babelfish/tr?lp=en_fr&urltext=MaxAuthTries%20Specifies%20the%20maximum%20number%20of%20authentication%20attempts%20permitted%20per%20connection.%20Once%20the%20number%20of%20failures%20reaches%20half%20this%20value%2C%20additional%20failures%20are%20logged.%20The%20default%20is%206.


qui blackliste pour 6h l'addresse qui fait plus de 10 tentatives infructueuses en 2 minutes.

Sur le meme principe, je connais çà pour Postfix:
http://n0rp.chemlab.org/spamhammer/
(mais j'en connais pas pour ssh.. je te laisse chercher..)

Hors ligne

#14 Le 07/08/2005, à 12:35

Gillaume

Re : [ Résolu ] Sécuriser serveur openSSH ..

Merci Uggy
je regarde ça ... big_smile

je vais tester avec maxauth .

je vais voir pour le script, ça risque d'etre dur. je connais mal
A+


Guili Guili

Hors ligne

#15 Le 10/08/2005, à 11:39

Gillaume

Re : [ Résolu ] Sécuriser serveur openSSH ..

Quelqu'un pourrait, sait faire ce genre de script ???
par z'hasard ? big_smile

ce serait utile pour moi, et bcp de monde aussi, pense je ....

gui


Guili Guili

Hors ligne

#16 Le 11/08/2005, à 11:24

Gillaume

Re : [ Résolu ] Sécuriser serveur openSSH ..

up ???
no one ???


Guili Guili

Hors ligne

#17 Le 11/08/2005, à 17:51

bishop

Re : [ Résolu ] Sécuriser serveur openSSH ..

Guillaume
Jette un oeil, pas trop loin quand même, sur ce tuto:

http://www.secuobs.com/tutoriels/03052004mod_security.html                   
    Tutoriel : Installation sécurisée, automatisée en globalité ou manuelle de    Apache pour Linux avec Openssl, Php4, Mysql, Mod_ssl, Mod_rewrite, Mod_perl , DSO & Mod_security avec les rêgles de l'IDS Snort

Tu trouveras peut-être ton bonheur dans l' une des 7 pages de ce tuto.

Dernière modification par bishop (Le 12/08/2005, à 14:08)


La plus grande surprise que puisse faire un con c'est de faire une pause.

Hors ligne

#18 Le 12/08/2005, à 10:31

Gillaume

Re : [ Résolu ] Sécuriser serveur openSSH ..

merci bishop
mais il n'y a rien sur ssh serveur ..
merci qd meme...

tu connais bien les scripts ??
si tu vois ce que je veux dire ?? ou je veux en venir .. big_smile


Guili Guili

Hors ligne

#19 Le 12/08/2005, à 12:12

Uggy

Re : [ Résolu ] Sécuriser serveur openSSH ..

J'suis tombé la dessus...


To block people trying to attack you with dictionary attacks you can use these firewall rules:

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

Here's another example with a different hitcount:

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 600 --hitcount 2 -j DROP

Note change 'eth0' to the interface you're actually using. You also need to have the ipt_recent module installed in the kernel.

Un des sites qui donne ces lignes IpTables..
(site a bookmarker!!!!)
http://www.debian-administration.org/articles/187

Dernière modification par Uggy (Le 12/08/2005, à 13:43)

Hors ligne

#20 Le 12/08/2005, à 14:19

Gillaume

Re : [ Résolu ] Sécuriser serveur openSSH ..

dis donc Uggy,
ça a l'air énorme ce que tu viens de trouver !!!!!  big_smile

Sérieux !
je teste ça de suite !
un grand merci !  big_smile
je vais voir le site !
gui


Guili Guili

Hors ligne

#21 Le 12/08/2005, à 15:03

Gillaume

Re : [ Résolu ] Sécuriser serveur openSSH ..

le site est excellent !!!!!!!!!!!!!!!!!!!!!!!!!!!! big_smile
tout ce que je voulais !!!!!!!!!!!!!!!!!


Guili Guili

Hors ligne