onur Le 06/09/2007 à 02:50 Dans quelle mesure puis-je porter plainte contre quelqu'un pour être entré dans mon compte ssh sur mon serveur?
Tout ce qui passe pas par le port 80, c'est de la triche.
à mon avis (non étayé), c'est illégal et tu peux porter plainte, mais ça a peu de chances de donner suite si tu n'as pas toi même d'informations pour savoir d'où ça vient, tout simplement parce que ce sera probablement difficile de retrouver le gars. peux tu donner un peu plus de détails sur l'intrusion ? est-ce que tu sais de qui il s'agit et d'où ça vient (en france ou à l'étranger) ?
I'm on a boat motherfucker, don't you ever forget
onur Le 06/09/2007 à 05:06 Je sais de qui il s'agit. Il est passé aux aveux et il m'a envoyé un mail par gmail pour confirmer en mentionnant toutefois qu'il ferait pas usage de ce qu'il a pris de mon serveur et qu'il détruirait. Comme preuve, j'ai les fichiers de log. Il est entré par le compte de quelqu'un sur mon serveur en bruteforçant.
Tout ce qui passe pas par le port 80, c'est de la triche.
ca va servir a rien de porter plainte a part vous couter cher aux deux... je pense pas que tu ais des trucs supers important sur ton server etc.?
Nil Le 06/09/2007 à 14:04 Tu peux au pire poser sur la main courante au commissariat (je ne sais pas s'ils accepteront, mais tu devrais avoir le droit), ça permet d'avoir une preuve que tu t'es inquiété de cette problématique (mais ça ne permet en rien des poursuites... au pire, ça peut permettre, si le gars se fait ramasser dans deux moins pour un truc pire, d'avoir un élément en plus). Mais bon, je suis assez d'accord avec nEUrOO (au taff, tant que ça ne touche pas à des données confidentielles [n°INE, n°INSEE, scolarité, diplômes] ou à des choses illégales [terrorisme, pédopornographie...], on laisse généralement pisser...)
Vive la théorie...Si le mot de passe est assez long et complexe (et qu'il n'y a pas de faille dans le reste du système), je doute que qui que ce soit ait assez de ressources de calcul pour rentrer dans un serveur, surtout un serveur privé.
onur Le 08/09/2007 à 01:48 Il est entré par le compte de quelqu'un de mon serveur, il avait mis un mot de passe assez bidon, le mec l'a cracké en moins de 24h.
Tout ce qui passe pas par le port 80, c'est de la triche.
PpHd Le 09/09/2007 à 11:40 Il faut interdire de se logguer par mot de passe sous ssh mais seulement par clé.
vince Le 09/09/2007 à 11:52 c'est pas le mode par défaut d'ailleurs ?
Nil Le 09/09/2007 à 14:03 Ou n'autoriser le ssh que depuis des adresses sélectionnées peut aider aussi.
sauf que beurk c'est quand même crade
I'm on a boat motherfucker, don't you ever forget
vince Le 09/09/2007 à 14:17 non, ça a un nom : whitelist
oui mais je veux dire, c'est chiant pour l'utilisateur qui veut se connecter d'une machine qui n'est pas dans la whitelist
I'm on a boat motherfucker, don't you ever forget
Qu'est-ce que t'appelles exactement « rien faire si ce n'est sudoer » ? Par ailleurs c'est toujours (et dans tous les cas de figure envisageables) autant vulnérable à du man in the middle (et même du rejeu) que s'il n'y avait qu'une seule machine.
I'm on a boat motherfucker, don't you ever forget
Nil Le 09/09/2007 à 22:16 Ben concrètement :
Soit une machine Alpha sur laquelle on ne peut se connecter en ssh qu'avec le compte toto.
Toto ne peut faire qu'une chose, c'est faire su -l baka
Baka ne peut faire qu'une chose : lancer un client ssh (par contre, il peut le faire vers n'importe quelle machine de notre DMZ).
Donc pour arriver en ssh à une machine de la DMZ, il faut : craquer le mot de passe de toto sur la machine Alpha (sachant qu'au bout de trois échecs en ssh, t'es bon pour une heure d'attente). Une fois sur cette machine, il ne peut faire qu'une chose : changer d'usager, donc il faut qu'il craque aussi le compte baka. Admettons.
Une fois qu'il est baka, il ne peut faire qu'une chose, c'est du ssh. Il faut qu'il craque le mot de passe du compte autorisé pour chaque machine qu'il veut atteindre (l'équivalent du toto pour le "répartiteur SSH"). Et une fois sur ces machines, il faut encore qu'il arrive à faire un su -l pour prendre la main avec un utilisateur qui a des pouvoirs.
Bien sûr, c'est moins sécuritaire qu'un fichier de clé, mais c'est aussi largement plus souple (t'es en famille dans le Morbilhan sans avoir pris tes trucs du boulot, il arrive une merde, tu peux te connecter).
Si on interdit l'accès par mot de passe et qu'on n'a pas (encore) de clé valide uploadée, c'est mal parti. Si on interdit l'accès par mot de passe et qu'on n'a pas (encore) de clé valide uploadée, c'est mal parti.
