ssh peace of mind - Page 1

j'en avais marre de trouver ça chaque jour:

################### Logwatch 7.3.6 (05/19/07) ####################
       Processing Initiated: Sun Aug 10 04:22:30 2008
       Date Range Processed: yesterday
                             ( 2008-Aug-09 )
                             Period is day.
     Detail Level of Output: 0
             Type of Output: unformatted
          Logfiles for Host: myserver
 ##################################################################

 --------------------- pam_unix Begin ------------------------

 sshd:
   Authentication Failures:
      unknown (sd-1181.dedibox.fr): 1843 Time(s)
      root (sd-1181.dedibox.fr): 580 Time(s)
      unknown (203.14.176.62): 421 Time(s)
      root (203.14.176.62): 199 Time(s)
      unknown (163.20.186.2): 165 Time(s)
      unknown (201-26-212-89.dsl.telesp.net.br): 95 Time(s)
      unknown (221.6.98.140): 48 Time(s)
      mail (sd-1181.dedibox.fr): 5 Time(s)
      ftp (sd-1181.dedibox.fr): 4 Time(s)
      root (221.6.98.140): 4 Time(s)
      adm (sd-1181.dedibox.fr): 3 Time(s)
      root (201-26-212-89.dsl.telesp.net.br): 3 Time(s)
      apache (203.14.176.62): 2 Time(s)
      netdump (sd-1181.dedibox.fr): 2 Time(s)
      polkituser (sd-1181.dedibox.fr): 2 Time(s)
      apache (sd-1181.dedibox.fr): 1 Time(s)
      avahi (sd-1181.dedibox.fr): 1 Time(s)
      bin (203.14.176.62): 1 Time(s)
      bin (sd-1181.dedibox.fr): 1 Time(s)
      dbus (sd-1181.dedibox.fr): 1 Time(s)
      distcache (sd-1181.dedibox.fr): 1 Time(s)
      games (163.20.186.2): 1 Time(s)
      games (203.14.176.62): 1 Time(s)
      games (221.6.98.140): 1 Time(s)
      games (sd-1181.dedibox.fr): 1 Time(s)
      gopher (sd-1181.dedibox.fr): 1 Time(s)
      haldaemon (sd-1181.dedibox.fr): 1 Time(s)
      halt (sd-1181.dedibox.fr): 1 Time(s)
      lp (221.6.98.140): 1 Time(s)
      lp (sd-1181.dedibox.fr): 1 Time(s)
      mail (163.20.186.2): 1 Time(s)
      mail (201-26-212-89.dsl.telesp.net.br): 1 Time(s)
      mail (203.14.176.62): 1 Time(s)
      mailnull (sd-1181.dedibox.fr): 1 Time(s)
      mysql (163.20.186.2): 1 Time(s)
      mysql (sd-1181.dedibox.fr): 1 Time(s)
      named (sd-1181.dedibox.fr): 1 Time(s)
      news (163.20.186.2): 1 Time(s)
      news (203.14.176.62): 1 Time(s)
      news (221.6.98.140): 1 Time(s)
      news (sd-1181.dedibox.fr): 1 Time(s)
      nfsnobody (sd-1181.dedibox.fr): 1 Time(s)
      nobody (sd-1181.dedibox.fr): 1 Time(s)
      nscd (sd-1181.dedibox.fr): 1 Time(s)
      ntp (sd-1181.dedibox.fr): 1 Time(s)
      operator (sd-1181.dedibox.fr): 1 Time(s)
      pcap (sd-1181.dedibox.fr): 1 Time(s)
      root (119.110.96.131): 1 Time(s)
      root (163.20.186.2): 1 Time(s)
      root (203.197.82.242): 1 Time(s)
      rpc (sd-1181.dedibox.fr): 1 Time(s)
      rpcuser (sd-1181.dedibox.fr): 1 Time(s)
      shutdown (sd-1181.dedibox.fr): 1 Time(s)
      smmsp (203.14.176.62): 1 Time(s)
      smmsp (sd-1181.dedibox.fr): 1 Time(s)
      sshd (sd-1181.dedibox.fr): 1 Time(s)
      sync (sd-1181.dedibox.fr): 1 Time(s)
      unknown (119.110.96.131): 1 Time(s)
      unknown (203.197.82.242): 1 Time(s)
      uucp (sd-1181.dedibox.fr): 1 Time(s)
   Invalid Users:
      Unknown Account: 2574 Time(s)


 ---------------------- pam_unix End -------------------------


 --------------------- SSHD Begin ------------------------


 Failed logins from:
   88.191.12.24 (sd-1181.dedibox.fr): 623 times
   119.110.96.131: 1 time
   163.20.186.2: 5 times
   201.26.212.89 (201-26-212-89.dsl.telesp.net.br): 4 times
   203.14.176.62: 206 times
   203.197.82.242: 1 time
   221.6.98.140: 7 times

 Illegal users from:
   88.191.12.24 (sd-1181.dedibox.fr): 1843 times
   119.110.96.131: 1 time
   163.20.186.2: 165 times
   201.26.212.89 (201-26-212-89.dsl.telesp.net.br): 95 times
   203.14.176.62: 421 times
   203.197.82.242: 1 time
   221.6.98.140: 48 times


 Received disconnect:
   11: Bye Bye : 3416 Time(s)

 ---------------------- SSHD End -------------------------

alors je suis passé en auth clé publique et hop:

################### Logwatch 7.3.6 (05/19/07) ####################
       Processing Initiated: Tue Aug 12 04:22:30 2008
       Date Range Processed: yesterday
                             ( 2008-Aug-11 )
                             Period is day.
     Detail Level of Output: 0
             Type of Output: unformatted
          Logfiles for Host: myserver
 ##################################################################

 --------------------- SSHD Begin ------------------------

 Received disconnect:
   11: Bye Bye : 2565 Time(s)

 ---------------------- SSHD End -------------------------

(par contre j'ai pas intéret à oublier ou j'ai foutu ma clé )

En plus de sshdfilter, regarde aussi des choses comme fail2ban, denyhosts, sshguard.

et si tu dois vraiment etre le seul a te connecter, bloque par IP...

maintenant à par un DoS je vois pas ce que je risque.

J'aime pas trop jouer à iptables, ça devient vite compliqué et si jamais je me gourre je serai baisé, parce que j'ai pas accès physique à la bécane.

l'auth clé publique me semble un pas supplémentaire dans la sécurité. j'avais déja un mot de passe aléatoire à 16 caractères alphanum+symboles. Déplacer le service ailleurs que sur le port 22 éliminerait aussi pas mal d'attaques sauf si les attaqueurs scannent avant de mordre.

notez que j'ai *jamais* été pwned malgré le nb quotidien d'attaques.

Sinon tu peux utiliser ça.

http://gentoo-wiki.com/HOWTO_Port_Knocking

squalyl (./5) :
notez que j'ai *jamais* été pwned malgré le nb quotidien d'attaques.

qu'est-ce que t'en sais ?

sha1 de tous les binaires de /bin:/usr/bin et al, c'est déja une garantie. Si l'un change je serai averti.

sinon pas mal le port knocking.

squalyl (./9) :
sha1 de tous les binaires de /bin:/usr/bin et al, c'est déja une garantie.

Qu'est-ce qui te garantit que le programme de calcul du SHA a pas été truandé ?

rien et je m'en fiche, samsufi

si un jour je vois des trafics chelous c'est réinstall et basta.

ben oui mais le principe d'un rootkit c'est qu'on le voit pas, il ne faut jamais dire jamais ^^ (et les trafics chelous, si y a un rootkit tu les vois pas... à moins que dedibox fournisse des outils externes ?)

oui, monitoring de bande passante par exemple.

et je verrais même pas de la charge CPU?

enfin tu ne connais quand même pas à l'octet près quelle devrait être ta bande passante théorique, pareil pour le CPU ? (surtout avec 2500 requêtes SSH bidon par jour )

meuh si

non, pas du tout. Mais je vois pas comment rentrer dans mon serveur autrement que par ssh, et mon mot de passe ssh est incrackable par un bot.

sans rigoler, sans oui mais, sans exagération, je pense pas que qn ait pu rentrer dans mon serveur.

ssh est faillible (à commencer par l'histoire des clés publiques faibles, par exemple). Sans parler des exploits de tous les autres services que ton serveur fournit. Si ta machine a plus de six mois, il a suffi que qqun ait obtenu un compte utilisateur quelconque pour qu'il aie pu obtenir un accès root ... bref, des failles y en a pas qu'un peu.

je n'ai pas debian avec son openssl foireux. elle est sous fedora 8 avec un kernel 2.6.25.

 --------------------- SSHD Begin ------------------------

 Received disconnect:
   11: Bye Bye : 5437 Time(s)

 **Unmatched Entries**
 reverse mapping checking getaddrinfo for 201-88-77-202.t.pmjce700.brasiltelecom.net.br [201.88.77.202] failed - POSSIBLE BREAK-IN ATTEMPT! : 3 time(s)

 ---------------------- SSHD End -------------------------

je vais changer de port

tout ça parceque les tentatives d'entrée se sont multipliées par 2