Sécuriser un peu plus SSH et pourrir la vie des brutes force ! - Systèmes d'exploitation (Windows, Mac OS, Linux...)
TomsGuide.com : 700 000 inscrits répondent à toutes vos questions high-tech et informatique.
Pour obtenir de l'aide, inscrivez-vous gratuitement !
 

Ajouter une réponse



Mot :   Pseudo :  
 
Bas de page
Auteur
 Sujet : Sécuriser un peu plus SSH et pourrir la vie des brutes force !
 
lolotux
I am not a number (not BSD, not Cluf, not MAC), I'
Profil : IDNaute
Plus d'informations
n°79559
01-03-2007 à 23:11:49

Bonjour,

Vous connaissez peut-être SSH ?
http://www.commentcamarche.net/crypto/ssh.php3
http://fr.wikipedia.org/wiki/Secure_shell

Bon et bien, le problème avec "ssh" c'est qu'il est susceptible d'être attaqué par "brute force"...
http://fr.wikipedia.org/wiki/Attaque_par_force_brute

La logique veut que cela arrive fréquemment, et que cela est réalisé par des automates. Il passe en revu toutes les combinaisons... Bref ils sont rapides.

Des solutions existent :
Changement de port 22 à celui qu'on désire (peu efficace devant un scanner)
Port Knocking :
http://fr.wikipedia.org/wiki/Port_knocking
Efficace mais lourd, car il faut avoir le client de knocking adéquat !
Analyse temps réel des log, et action sur le firewall rejetant les IP faisant brute de force.

Une solution peu envisagé est de ralentir le login !? :heink:
OpenSSH est open source (http://www.openssh.org/fr/index.html), donc nous allons programmer le SSHD pourqu'il attende avant de demander le mot de passe !

On télécharge les sources de openssh : ftp://ftp.fr.openbsd.org/pub/Open [...] 5p1.tar.gz

On le dé compacte et entre dans le répertoire....
On édite le fichier "auth-passwd.c" (Ecrit en C)
On cherche "auth_password(Authctxt *authctxt, const char *password)"

La partie qui nous interresse est :

/*
* Tries to authenticate the user using password. Returns true if
* authentication succeeds.
*/
int
auth_password(Authctxt *authctxt, const char *password)
{
struct passwd * pw = authctxt->pw;
int result, ok = authctxt->valid;
#if defined(USE_SHADOW) && defined(HAS_SHADOW_EXPIRE)
static int expire_checked = 0;
#endif



Aprés le dernier "#endif" on ajoute :

/* Password authentication delay */
sleep(10);



On le compile :

$ ./configure --prefix=/usr --sysconfdir=/etc/ssh
$ make
$ su
.....
# make install



On relance le serveur SSH : /etc/init.d/sshd restart

On test :

ssh -l user 82.xx.yy.zz[ENTER]
...... là on attend.... (les robots ne vont pas aimer)
password : xxxxxxxx
...... là on attend de nouveau....(les robots ne vont vraiment pas aimer)
$



Astuce trouvée sur : http://www.aerospacesoftware.com/ssh-kiddies.html


Message édité par lolotux le 27-11-2008 à 11:57:43
Liens sponsorisés


Inscrivez-vous ou connectez-vous pour masquer ceci.

lolotux
I am not a number (not BSD, not Cluf, not MAC), I'
Profil : IDNaute
Plus d'informations
n°98334
07-07-2007 à 00:06:34

Personne ne sécurise son SSH ?


---------------
Linuxien affirmé ;)
Moi123@IDN
Come backer !
Profil : IDNaute
Plus d'informations
n°136435
17-05-2008 à 21:59:24

Je fait remonter, c'est bien interessant, même si Fail2ban+Denyhosts+PermitRootlogin no suffit, ça peut toujours servir.

 

Puis bon, me connectant plus de 10 fois par jour sur un serveur SSH, je me vois pas attendre tout ce temps à chaque fois.


Message édité par Moi123@IDN le 17-05-2008 à 22:00:36

---------------
VieDeGeek || Hinsolite
lolotux
I am not a number (not BSD, not Cluf, not MAC), I'
Profil : IDNaute
Plus d'informations
n°136439
18-05-2008 à 00:27:21

C'est vrai que c'est un peu chiant ! :)
Mais je n'ai plus aucun : auth failed from..... (Sauf quand c'est moi ;) )


---------------
Linuxien affirmé ;)
kleuck
Dans l'espace personne ne vous entends péter !
Profil : IDNaute
Plus d'informations
n°136445
18-05-2008 à 01:32:00

Drapal.


---------------
Don't eat the yellow snow !
"internet explorer,ça sers a installer firefox" bash-fr.org.
lolotux
I am not a number (not BSD, not Cluf, not MAC), I'
Profil : IDNaute
Plus d'informations
n°136450
18-05-2008 à 02:20:15

???


---------------
Linuxien affirmé ;)
kleuck
Dans l'espace personne ne vous entends péter !
Profil : IDNaute
Plus d'informations
n°136451
18-05-2008 à 02:28:01

Quoi ?
J'ai bookmarqué le lien, mais on ne sait jamais, il peut y avoir des développement intéressants.
L'année prochaine.


Message édité par kleuck le 18-05-2008 à 02:28:54

---------------
Don't eat the yellow snow !
"internet explorer,ça sers a installer firefox" bash-fr.org.
maxcailla
Bienvenue sur la banquise !
Profil : IDNaute
Plus d'informations
n°136663
20-05-2008 à 20:22:06

Intéressant.....
Perso je suis plus sur : changement du port + PermitRootlogin no + IPtables pour la limitation du nombre de tentatives.


---------------
Microsoft : Most Intelligent Customers Realize Our Software Only (for) Fools ( and ) Teenagers

Des femmes nues et des gogos danseurs c'est sur IF

  FORUM Infos-du-Net » Systèmes d'exploitation (Windows, Mac OS, Linux...) » Sécuriser un peu plus SSH et pourrir la vie des brutes force !

Aller à :
Ajouter une réponse
 

Plan du forum
Forum MesDiscussions.Net, Version 2007.1.2
© 2000-2007 No1Dev
Page générée en 0,364 secondes
Liens
Produits relatifs