Sécuriser un peu plus SSH et pourrir la vie des brutes force !

Donne ton avis en vidéo

Donne ton avis en vidéo et reçois 10€ cash

Partage avec les internautes ton avis sur tes derniers achats high-tech et reçois 10€ par vidéo.

En savoir plus | Donner un avis vidéo

Messages similaires

Plus de messages similaires

Dans l'actualité

Voler un mot de passe ? Quoi de plus facile ?

Publié le 18 août 2004

La plupart des utilisateurs d'Internet et des services de banque en ligne ouvrent eux-mêmes la porte aux fraudeurs en utilisant des mots de passes déductibles et en ignorant les règles élémentaires de la sécurité informatique. Les études montrent que 2 Lire la suite

Triste mois de juillet pour les navigateurs Web

Publié le 12 juillet 2006

Un certain H.D. Moore, spécialiste en sécurité informatique, a décidé de se lancer un pari plutôt incensé : découvrir et publier chaque jour un bulletin sur une nouvelle faille de sécurité dans un navigateur Web, pendant tout le mois de juillet. Pour déc Lire la suite

EBay rachète Skype pour une somme colossale

Publié le 12 septembre 2005

Le géant de la vente aux enchères en ligne bavait depuis un moment sur le fournisseur de solutions VoIP, et des rumeurs de rachat couraient sur la toile depuis déjà quelques jours. En effet, on entendait parler d’un désir d’eBay de renouveler sa gamme et Lire la suite

Base de données : Firebird 2.0 enfin en version finale

Publié le 13 novembre 2006

Après deux années de développement, Firebird, la base de donnée relationnelle Open Source, arrive enfin dans une nouvelle version estampillée 2.0. D’une manière générale Firebird 2.0 a donc fait l’objet d’une reprise assez conséquente d Lire la suite

Les téléchargements

Albums

Lian Li MAXIMA Force

11 photos

Les derniers dossiers

Réviser ses examens sur Internet

Publié le 16 juin 2009

Le bac et le brevet des collèges débutent dans quelques jours et certains commencent leurs révisions alors que d'autres s'y sont attelés depuis quelques mois. Mais il reste des points à éclaircir. Voici donc une sélection de sites pour réviser en ligne. Lire la suite

TV Samsung à LED : le test de la LE40A796

Publié le 15 juin 2009

Cette fin d'année voit apparaître les premiers téléviseurs à LED chez tous les grands constructeurs. Et Samsung ne déroge pas à la règle. C'est la série A796 qui utilisera ce type de rétro-éclairage de la dalle. Cette dernière est bien évidemment au forma Lire la suite

TV Philips à LED : le test de la 42PFL9803H

Publié le 15 juin 2009

Après de nombreuses annonces faites par pratiquement l'ensemble des constructeurs de TV, voici enfin dans notre laboratoire le premier modèle doté d'un rétro-éclairage à LED. Une technologie qui promet des contrastes fabuleux - annoncés à plus de 1000000: Lire la suite

Test du Samsung Platine : pour les djeuns ?

Publié le 12 juin 2009

Clairement destiné aux jeunes gens en quête d'un téléphone tout tactile ludique, singulier et orienté son, le Platine se fait d'abord remarquer par sa forme. Sur le fond, ce musicphone avance quelques particularités censées offrir à ses utilisateurs les Lire la suite

Téléchargement

Liens commerciaux

Tom's Guide > Forum > Systèmes d'exploitation (Windows, Mac OS, Linux...) > Sécuriser un peu plus SSH et pourrir la vie des brutes force !

Sécuriser un peu plus SSH et pourrir la vie des brutes force ! - Systèmes d'exploitation (Windows, Mac OS, Linux...)

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !

Répondre

Bas de page Chercher dans ce sujet

Bonjour,

Vous connaissez peut-être SSH ?
http://www.commentcamarche.net/crypto/ssh.php3
http://fr.wikipedia.org/wiki/Secure_shell

Bon et bien, le problème avec "ssh" c'est qu'il est susceptible d'être attaqué par "brute force"...
http://fr.wikipedia.org/wiki/Attaque_par_force_brute

La logique veut que cela arrive fréquemment, et que cela est réalisé par des automates. Il passe en revu toutes les combinaisons... Bref ils sont rapides.

Des solutions existent :
Changement de port 22 à celui qu'on désire (peu efficace devant un scanner)
Port Knocking :
http://fr.wikipedia.org/wiki/Port_knocking
Efficace mais lourd, car il faut avoir le client de knocking adéquat !
Analyse temps réel des log, et action sur le firewall rejetant les IP faisant brute de force.

Une solution peu envisagé est de ralentir le login !? :heink:
OpenSSH est open source (http://www.openssh.org/fr/index.html), donc nous allons programmer le SSHD pourqu'il attende avant de demander le mot de passe !

On télécharge les sources de openssh : ftp://ftp.fr.openbsd.org/pub/Open [...] 5p1.tar.gz

On le dé compacte et entre dans le répertoire....
On édite le fichier "auth-passwd.c" (Ecrit en C)
On cherche "auth_password(Authctxt *authctxt, const char *password)"

La partie qui nous interresse est :

/*
* Tries to authenticate the user using password. Returns true if
* authentication succeeds.
*/
int
auth_password(Authctxt *authctxt, const char *password)
{
struct passwd * pw = authctxt->pw;
int result, ok = authctxt->valid;
#if defined(USE_SHADOW) && defined(HAS_SHADOW_EXPIRE)
static int expire_checked = 0;
#endif

Aprés le dernier "#endif" on ajoute :

/* Password authentication delay */
sleep(10);

On le compile :

$ ./configure --prefix=/usr --sysconfdir=/etc/ssh
$ make
$ su
.....
# make install

On relance le serveur SSH : /etc/init.d/sshd restart

On test :

ssh -l user 82.xx.yy.zz[ENTER]
...... là on attend.... (les robots ne vont pas aimer)
password : xxxxxxxx
...... là on attend de nouveau....(les robots ne vont vraiment pas aimer)
$

Astuce trouvée sur : http://www.aerospacesoftware.com/ssh-kiddies.html

Message édité par lolotux le 27-11-2008 à 11:57:43

Répondre

Inscrivez-vous ou connectez-vous pour masquer ceci.

Personne ne sécurise son SSH ?

------------------------------ Linuxien affirmé :)
Et énervé, donc !
Répondre à lolotux

Je fait remonter, c'est bien interessant, même si Fail2ban+Denyhosts+PermitRootlogin no suffit, ça peut toujours servir.

Puis bon, me connectant plus de 10 fois par jour sur un serveur SSH, je me vois pas attendre tout ce temps à chaque fois.

Message édité par Moi123@IDN le 17-05-2008 à 22:00:36

------------------------------ VieDeGeek || Hinsolite
Répondre à Moi123@IDN

C'est vrai que c'est un peu chiant !
Mais je n'ai plus aucun : auth failed from..... (Sauf quand c'est moi )

------------------------------ Linuxien affirmé :)
Et énervé, donc !
Répondre à lolotux

Drapal.

------------------------------ Don't eat the yellow snow !
"internet explorer,ça sers a installer firefox" bash-fr.org.
Répondre à kleuck

???

------------------------------ Linuxien affirmé :)
Et énervé, donc !
Répondre à lolotux

Quoi ?
J'ai bookmarqué le lien, mais on ne sait jamais, il peut y avoir des développement intéressants.
L'année prochaine.

Message édité par kleuck le 18-05-2008 à 02:28:54

------------------------------ Don't eat the yellow snow !
"internet explorer,ça sers a installer firefox" bash-fr.org.
Répondre à kleuck

Intéressant.....
Perso je suis plus sur : changement du port + PermitRootlogin no + IPtables pour la limitation du nombre de tentatives.

------------------------------ Microsoft : Most Intelligent Customers Realize Our Software Only (for) Fools ( and ) Teenagers

Des femmes nues et des gogos danseurs c'est sur BI
Répondre à maxcailla

Créer un nouveau sujet Répondre

Tom's Guide > Forum > Systèmes d'exploitation (Windows, Mac OS, Linux...) > Sécuriser un peu plus SSH et pourrir la vie des brutes force !

Aller à :

Aide |
Règles du forum

Il y a 583 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Page générée en 0,174 secondes

Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler

Liens