Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 06/06/2007, à 18:08

olivier81

proteger serveur contre force brute

bonjour,

Je souhaiterais savoir comment ça se passe pour proteger un serveur contre attaque brute pour trouver password root. L'ideal etant d'interdire la connexion ssh pour le root, de se connecter avec un user qui n'a pas de droits super utilisateur, et de passer en root ensuite. Mais ceci n'est pas possible avec ubuntu que je sache du fait de l'utilisation du sudo. Je m'explique : si le user peut passer en root, cela signifie, que dans l'eventuel cas ou un intrus serait rentré dans le sysytème, il possede le mot de passe de cet utilisateur et peut utiliser la commande sudo avec le meme mot de passe.

Ce que je voudrais c'est me connecter en ssh avec mon user, qui n'aurait pas la possibilité d'executer des commandes sudo, mais qui pourrait passer en root avec un mot de passe specifique au root! (comme sur d'autres  distributions linux n'utilisant pas sudo).


"prevenir plutôt que guerir"

Hors ligne

#2 Le 06/06/2007, à 18:14

dexinou

Re : proteger serveur contre force brute

si le user peut passer en root, cela signifie, que dans l'eventuel cas ou un intrus serait rentré dans le sysytème, il possede le mot de passe de cet utilisateur et peut utiliser la commande sudo avec le meme mot de passe.

SI ton mot de passe fait plus de 8 caractères, majuscules, minuscules, chiffres et caractères spéciaux, tu ne dois pas t'inquiéter pour ça.

J'ai des brutes forces toute la journées pendant 3 ans et jamais personnes ne s'est introduit sur le système à moins que je lui autorise l'accès.
wink

Si tu veux vraiment le sécuriser, tu désactive l'accès par mot de passe et tu utilise le système de clés et ensuite tu installe un petit fail2ban et tu devrais dormir sur tes deux oreilles.

Dernière modification par dexinou (Le 06/06/2007, à 18:19)


Ubuntu 9.10 64bits ext4 ® Core 2 Duo
Unix..... il y a moins bien mais c'est plus cher.
Si t'as pas compris la réponse, pose mieux ta question.
Tutoriaux Linux, apache, pure-ftpd, bind, mysql, qmail...

Hors ligne

#3 Le 06/06/2007, à 18:25

Bastes

Re : proteger serveur contre force brute

Bah, à ma connaissance il n'y a rien qui permettent de strictement l'interdire.

Ceci dit, il y a quelque chose de tout simple qui permet de le rendre totalement inintéressant : forcer des temps de réponse du serveur ssh espacés de ne serait-ce qu'une seconde et choisir des password suffisement longs. Pourquoi ? Parce mettons un password pas trop tordu (8 à 16 caractères a-zA-Z0-9) ça nous fait (en ruby ^^) :
(8..16).each do |i| resultat += (26 * 2 + 10) ** i end

Soit 48453916488902604189774113536s pour essayer toutes les combinaisons.
On va être gentil et on va considérer que le mot de passe se trouve au milieu de ces combinaisons quand on les essaye séquentiellement :
24226958244451302094887056768

C'est encore gros. On va exprimer ça en minutes :
403782637407521701581450946

Bon, ok en heures ça fait :
6729710623458695026357515

Pas beaucoup mieux. En jours ?
280404609310778959431563

Toujours beaucoup. En années de 365 jours...
768231806330901258716
(tain, un vrai divisible de 365 !)

Bref. En gros, il va mettre looooooongtemps le bruteforceur s'il veut parvenir à un résultat exploitable.

Et c'est sans compter qu'il faut aussi qu'il connaisse le login...


"'Tell me,' said Moist, 'have you ever heard of something called the Smoking Gnu?'"

Terry Pratchett, Going Postal

Hors ligne

#4 Le 06/06/2007, à 18:26

olivier81

Re : proteger serveur contre force brute

Ok merci du renseignement.

Bonne continuation.


"prevenir plutôt que guerir"

Hors ligne

#5 Le 06/06/2007, à 20:56

Uggy

Re : proteger serveur contre force brute

olivier81 a écrit :

Ce que je voudrais c'est me connecter en ssh avec mon user, qui n'aurait pas la possibilité d'executer des commandes sudo, mais qui pourrait passer en root avec un mot de passe specifique au root!

Pas de pb.
Tu interdit root dans le shd_config (permitrootlogin a no)
Tu autorises que user1 a se connecter par ssh (AllowUsers)
Tu fais en sorte que user1 ne soit pas dans le groupe admin (c'est le groupe qui a par defaut les droits pour sudo)
Je recommande de n'autoriser les connexions ssh que par clé.

Bilan: Seul un mec qui a la clé de user1 + le mot de passe de sa clé + le mot de passe root pourra se connecter en root par ssh.

Hors ligne