Discussion :

[gifffftane]

Bonjour,

Il me semble que des PIRATES sont passés sur mon serveur, en se connectant par ssh ; je les ai surpris au moment où je passais par là, j'ai vu leur console horrible ! je les ai tout de suite killés !

Je suis perplexe parce que je ne comprends pas comment ils ont fait, vu que j'ai installé fail2ban. Et de fait, si j'observe les logs de ce truc, la majorité des bannis sont le fait de tentatives par ssh :

2008-12-11 18:56:49,123 fail2ban.actions: WARNING [ssh] Unban 88.53.94.99
2008-12-11 19:01:54,073 fail2ban.actions: WARNING [ssh] Ban 84.232.166.233
2008-12-11 19:03:50,068 fail2ban.actions: WARNING [ssh] Ban 88.53.94.99
2008-12-11 19:11:54,981 fail2ban.actions: WARNING [ssh] Unban 84.232.166.233
2008-12-11 19:13:50,976 fail2ban.actions: WARNING [ssh] Unban 88.53.94.99
2008-12-11 19:37:57,679 fail2ban.actions: WARNING [ssh] Ban 88.53.94.99

Cela me gène de limiter les IP autorisées en ssh, parce que j'ai toujours peur d'avoir à me connecter depuis ailleurs que là où je suis d'habitude.

Qu'en pensez-vous ? Y a-t-il un moyen de mieux se protéger ?

Merci pour vos lumières.

[kedare]

tu règle fail2ban pour ne pas deban ou pour deban beaucoup plus tard...
si non tu ban les ip du pirate, je doute qu'un jour tu aille chez lui (une des tes ip pirate vient d'Italie et l'autre de Romanie)

autre truc: désactive l'accés root en ssh, vu que 99% des pirates vont essayer de se connecter en root en premier, utilise sudo plutot

[matafan]

Y a-t-il un moyen de mieux se protéger ?

Désactive le login root comme suggéré par kedare. Et choisit des mots de passe générés aléatoirements (mkpasswd marche bien pout ça).

Ensuite j'imagine que tu ne te connecte pas à ta machine depuis des IP quelconques, mais depuis quelques réseaux tout au plus. Donc configure ton firewall pour n'autoriser les connexion que depuis les plages d'adresse que tu es sensé utiliser.

Enfin une façon d'éviter purement et simplement 99.99% des tentatives de connexions, c'est de binder sshd sur un port autre que 22, de préférence > 1024. Tu verra, ça sera le calme plat dans tes logs.

[lavazavio]

+1 pour matafan

Changer le port par défaut de sshd est le moyen le plus sûr pour éviter les tentatives d'intrusions par ssh selon moi. La personne qui essaiera de pirater ta machine aura une vraie raison de le faire dans ce cas parce qu'elle se sera donnée tous les moyens pour le faire !
Ca te permettra de distinguer les pirates qui "s'amusent" et le sérieux.

[lu6fer]

Si changé le port de connexion SSH, ce qui pour moi et la meilleur des solutions (du moins celle que j'applique a chaque installation de serveur), te pose problème. Tu peux envisagé des créer un tunnel VPN (openvpn par exemple) et de n'autoriser les connexions ssh que sur l'adresse interne de ton vpn.

Comme ca plus de port SSH visible de l'extérieur.

Parce qu'il faut bien savoir, même si tu change de port d'écoute du service, il répond quand même, d'une façon qui lui est propre, et donc est détectable.


Enfin arrivé a des solutions comme celle la, faut soit être parano, soit avoir des donnée vraiment très importantes a protégé.

[gifffftane]

Bon, je pense que je vais au moins empêcher le ssh sur le root.

En réfléchissant et discutant, j'ai pris conscience d'une chose : les logins FTP sont exactement les mêmes que les logins SSH. Or, les logins FTP circulent en clair sur le web ; je le sais depuis mathusalem, mais je me rends compte seulement maintenant que c'est pas forcément super au niveau de la sécurité.

Cela expliquerait que l'on ait pu les trouver : le login piraté avait un mot de passe correct (je peux maintenant le dire : c'était "domIn5que", cela va, non, comme mot de passe ? ). J'imagine qu'un paquet FTP sera passé sur un serveur observé par le pirate, pirate qui n'a plus qu'à essayer en SSH.

Pourtant, cela vient d'une configuration de base : linux et tous ses outils sont réglés pour que ça fonctionne comme ça, c'est ce que je comprends pas. Donc j'ai peut être loupé quelque chose ?

[matafan]

Je doute que le serveur ftp soit activé de base.

[gifffftane]

Quand on l'active, alors il se cale sur les logins courants.

[JeitEmgie]

Qu'en pensez-vous ? Y a-t-il un moyen de mieux se protéger ?

en plus de changer le port SSH, n'autorisez que les connections par clé SSH et non par mot de passe…

[Alain B.]

Si changé le port de connexion SSH, ce qui pour moi et la meilleur des solutions (du moins celle que j'applique a chaque installation de serveur), te pose problème. Tu peux envisagé des créer un tunnel VPN (openvpn par exemple) et de n'autoriser les connexions ssh que sur l'adresse interne de ton vpn.

Du point de vue du "pirate", lequel est le plus "facile" ssh ou openvpn ?
(je parle d'obtenir l'accès, pas de ce qu'il peut en faire ensuite)

en plus de changer le port SSH, n'autorisez que les connections par clé SSH et non par mot de passe…

Et ne pas oublier de protéger la clé par un mot de passe.

[JeitEmgie]

Et ne pas oublier de protéger la clé par un mot de passe.

le mot de passe sur la clé SSH ne concerne que la machine client…

cela ne sert donc à protéger l'accès au serveur qu'à partir de la machine sur laquelle la clé client (donc la clé privée du client) est stockée…
cela n'ajoute rien à la protection contre les tentatives de hacking via internet… mais bien si vous pensez que quelqu'un peut utiliser votre machine client à votre insu pour hacker le serveur…
(notez que la protection par mot de passe de la clé côté client, va vous gêner dès que vous voudrez automatiser des tâches qui accèdent au serveur via cette clé… genre rapatriement de backups… logs… )

la question se pose aussi si la machine client est un autre serveur…

… et si vous nécessitez la parano max, alors stockez vos clés SSH sur une clé USB avec encryptage et protection biométrique…
mais là oubliez toute automatisation…

[Alain B.]

le mot de passe sur la clé SSH ne concerne que la machine client…

J'étais dans l'optique "nomade" avec kit client ssh+clé sur usb

[gifffftane]

Merci, merci à tous.

Bon, pour l'instant, j'ai stoppé le root par ssh, j'ai conservé les accés ssh par mot de passe (y faut que je me familiarise avec la technique, j'ai toujours peur de perdre une clef), j'ai perfectionné ma connaissance de sudo, et j'ai utilisé rkhunter et chkrootkit.

Cela ira pour cette fois-ci, j'attends la prochaine attaque.

À bientôt, donc

[Guillaume.G]

Bonjour,

moi je conserve l'accès root par SSH sur le port par défaut, mais j'ai confiné l'accès aux services sensibles par VPN.

J'ai installé OpenVPN sur un Ipcop en frontal. Du coup, les seuls ports accessibles depuis l'extérieur sont le 80 et le 21.

Depuis la mise en œuvre de cette pratique, je n'ai noté aucune tentative de quoi que ce soit sur un port sensible (normal vu qu'ils ne sont pas ouverts en frontal) et j'ai toujours un accès total aux machines situées derrière le pare-feu.








En bon parano que je suis, j'ai conservé fail2ban... on sait jamais

[rberthou]

je pense que pour plus de sécurité il est toujours préférable de :
- Désactiver le login root hors de la console ( il est toujours préférable de ne pas connaitre le nom d'un utilisateur)
- Configurer ton firewall pour fermer le maximum de ports ( ne pas laisser par exemple le port mysql ouvert sur l'extérieure car tu souhaite l'administrer de chez toi - dans ce cas passe par un tunnel )
- Désactiver les passwords pour les users SSH pour forcer l'utilisation d'une clef
- Ne pas rendre accessible de l'extérieure des outils dans le style : Webmin , phpmyadmin, ... les activer uniquement à la demande sur un port particulier en local (passer aussi via un tunnel )

( liste non exhaustive ...)

[lu6fer]

Du point de vue du "pirate", lequel est le plus "facile" ssh ou openvpn ?
(je parle d'obtenir l'accès, pas de ce qu'il peut en faire ensuite).

Ce n'est pas forcement, le fait d'avoir un accès plus ou moins protégé, mais ça permet de rajouté une couche de sécurité.

Une l'accès openvpn obtenu, il faut encore réussir a obtenir l'accès SSH.

Donc 2 fois plus de boulot.

Comme ça tu es certains de pas voir des gamin qui viennent d'avoir un accès ADSL, et qui essayer les 3 premières technique de piratage donnée par google.


Après croire que sont réseau est inaccessible, c'est une erreur, si quelqu'un a de bonne raison, il rentrera quelque soit le sécurité.

[wafiwafi]

Regarde s'ils n'ont pas fait des tuneles avec hamachi par exemple.