Ssh : Différence entre versions
(→Alerte securité) |
(→Alerte securité) |
||
| Ligne 9 : | Ligne 9 : | ||
mettez votre domaine principale en resolu localement dans le server-manager / domaines | mettez votre domaine principale en resolu localement dans le server-manager / domaines | ||
| + | |||
| + | |||
| + | |||
| + | == denyhost == | ||
| + | |||
| + | [http://denyhosts.sourceforge.net/faq.html] | ||
| + | |||
| + | fonctionne avec multilog | ||
| + | |||
| + | rpm dispo en python 2.3 et python 2.4 | ||
| + | |||
| + | installation | ||
| + | wget http://ovh.dl.sourceforge.net/sourceforge/denyhosts/DenyHosts-2.6-python2.3.noarch.rpm | ||
| + | rpm -ivh DenyHosts-2.6-python2.3.noarch.rpm | ||
| + | touch /etc/hosts.evil | ||
| + | |||
| + | # edit your HOSTS_DENY configuration value to point it to another file such as "/etc/hosts.evil". | ||
| + | # edit your BLOCK_SERVICE configuration value and leave it blank | ||
| + | # edit your /etc/hosts.allow file and add: | ||
| + | via les templates : sshd: ALL en sshd: ALL EXCEPT /etc/hosts.evil | ||
| + | |||
| + | ajouter dans le fichier 1 ligne par ip a ne jamais bloquer | ||
| + | mcedit /usr/share/denyhosts/data/allowed-hosts | ||
| + | |||
| + | ln -s /etc/rc.d/init.d/denyhosts /etc/rc.d/rc7.d/S01denyhosts | ||
| + | |||
| + | le rpm de fedora3 avec quelques modif sme pour le template hosts.allow au niveau du sshd niquel, je repackage ca . | ||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
| + | == fail2ban == | ||
| + | |||
| + | impossible pour el moment de le faire tourner avec SME 7 | ||
| + | les log de sshd sont fait avec multilog, le format est reconu dés la version 0.6.1, mais la façon dont est ecrit le fichier est pris pour une rotation du log.(ouverture ecriture fermeture et donc modification de la date de derniere modification) | ||
| + | |||
| + | la version 8 actuelle est pour python 2.4, la 9 qui viendra un jour est prevue pour 2.3 | ||
| + | |||
| + | == BlockHost == | ||
| + | [http://www.aczoom.com/cms/blockhosts/] | ||
| + | |||
| + | |||
| + | == Blacklist == | ||
| + | [http://blinkeye.ch/mediawiki/index.php/SSH_Blocking] | ||
| + | |||
| + | |||
| + | == outils == | ||
| + | Pour compter les attaques: | ||
| + | grep Failed /var/log/sshd/current | grep -oP '([0-9]{1,3}\.){3}[0-9]{1,3}' | sort | uniq -c | ||
| + | Pour lister les pseudo | ||
| + | grep "Failed" /var/log/sshd/current | sed "s/.*for\( invalid user\)*\(.*\)\(from.*\)/\2/" | sort | uniq -c|less | ||
Version du 24 août 2007 à 08:09
Alerte securité
reverse mapping checking getaddrinfo for pc-00250.domaine.fr failed
tout simplement votre nom de domaine principal est réglé pour une résolution sur l'internet, et vous vous êtes logué avec un pc sur votre reseau local qui recoit un adressage avec ce nom de domaine, ssh quand vous vous connectez demande au dns la resolution, mais votre pc est connu que localement ...
resolution:
mettez votre domaine principale en resolu localement dans le server-manager / domaines
denyhost
fonctionne avec multilog
rpm dispo en python 2.3 et python 2.4
installation
wget http://ovh.dl.sourceforge.net/sourceforge/denyhosts/DenyHosts-2.6-python2.3.noarch.rpm rpm -ivh DenyHosts-2.6-python2.3.noarch.rpm touch /etc/hosts.evil
- edit your HOSTS_DENY configuration value to point it to another file such as "/etc/hosts.evil".
- edit your BLOCK_SERVICE configuration value and leave it blank
- edit your /etc/hosts.allow file and add:
via les templates : sshd: ALL en sshd: ALL EXCEPT /etc/hosts.evil
ajouter dans le fichier 1 ligne par ip a ne jamais bloquer
mcedit /usr/share/denyhosts/data/allowed-hosts
ln -s /etc/rc.d/init.d/denyhosts /etc/rc.d/rc7.d/S01denyhosts
le rpm de fedora3 avec quelques modif sme pour le template hosts.allow au niveau du sshd niquel, je repackage ca .
fail2ban
impossible pour el moment de le faire tourner avec SME 7 les log de sshd sont fait avec multilog, le format est reconu dés la version 0.6.1, mais la façon dont est ecrit le fichier est pris pour une rotation du log.(ouverture ecriture fermeture et donc modification de la date de derniere modification)
la version 8 actuelle est pour python 2.4, la 9 qui viendra un jour est prevue pour 2.3
BlockHost
Blacklist
outils
Pour compter les attaques:
grep Failed /var/log/sshd/current | grep -oP '([0-9]{1,3}\.){3}[0-9]{1,3}' | sort | uniq -c
Pour lister les pseudo
grep "Failed" /var/log/sshd/current | sed "s/.*for\( invalid user\)*\(.*\)\(from.*\)/\2/" | sort | uniq -c|less
