[Linux-bruxelles] protection sshd
Frederic Pasteleurs
askarel_ml at scarlet.be
Mer 16 Sep 00:05:19 CEST 2009
Benoît Louveaux wrote:
> Salut.
>
> Depuis quelques jours, "on" essaie de se connecter sur sshd :
> sshd[23053]: Invalid user admin from 210.83.25.77
> sshd[23063]: User mysql not allowed because account is locked
> sshd[23073]: Invalid user oracle from 210.83.25.77
> sshd[32660]: Invalid user Fabfac from 89.107.21.114
> sshd[32664]: Address 89.107.21.114 maps to 39757.net, but this does not
> map back to the address - POSSIBLE BREAK-IN ATTEMPT!
> sshd[15413]: Invalid user nicole from 213.162.121.51
> sshd[15420]: Invalid user faith from 213.162.121.51
> etc.
>
> Durant une attaque, ces requêtes arrivent au rythme de une toutes les
> 2-3 secondes.
>
> Je suis la seule personne a devoir/pouvoir se connecter en ssh et ne me
> connecte qu'à partir de quelques machines (IP dynamiques enregistrées
> sur dyndns.org).
> J'aimerais profiter de votre expérience afin de savoir quelles sont les
> différentes mesures efficaces afin de se protéger de ces attaques ?
> config sshd || /etc/hosts.allows || iptables ?
>
> Actuellement, j'ai mis en place un "port knocking" des plus rudimentaires:
> #iptables -I INPUT 1 -p tcp --dport 12345 -m state --state NEW -m recent
> --set --name port_knock
> #iptables -I INPUT 2 -p tcp --dport 22 -m state --state NEW -m recent
> --update --name port_knock --seconds 60 -j ACCEPT
> #iptables -I INPUT 3 -p tcp --dport 22 -m state --state NEW -j DROP
>
> Bien à vous.
>
Installe fail2ban.
fail2ban va blacklister via une règle iptable le méchant robot qui
essaye de forcer l'accès à ton ssh après un certain nombre d'essais (5
par défaut sur Debian si ma mémoire est bonne)
Il y a une chose chaudement recommandée si tu utilise ssh couramment,
c'est l'authentification par clé publique:
http://hkn.eecs.berkeley.edu/~dhsu/ssh_public_key_howto.html
Rien à craindre si tu utilise des bons mots^W^Wbonnes phrases de passe.
Plus d'informations sur la liste de diffusion Linux-bruxelles