http://brocas.org/blog/ petit bloc-notes à usage interne qui peut peut-être servir à d'autres ... fr Fri, 19 Sep 2008 21:16:40 +0200 Tous les écrits de ce blog sont publiés sous licence by-nc-sa (http://creativecommons.org/licenses/by-nc-sa/2.0/) http://blogs.law.harvard.edu/tech/rss Dotclear http://brocas.org/blog/post/2008/01/17/Gandi-Hebergement-part-2%3A-securiser-son-serveur-Ubuntu urn:md5:23012edb7994db493b73b505c1f34205 Thu, 17 Jan 2008 22:04:00 +0100 chris geek fail2bangandisshsécurité <p>Une fois acquis, votre hébergement est accessible en mode expert via ssh : ssh &lt;votre user&gt;@&lt;votre adresse IP&gt;</p> <p><strong>1. Le problème</strong></p> <p>Mais dès que vous dites cela, vous vous rendez compte que tous les robots et autres botnets peuvent en faire autant.</p> <p>Vous ne me croyez pas ?</p> <p>Lancez donc cette commande comme moi au bout de seulement 2 jours :</p> <pre> root@XXX:/home/user1# cat /var/log/auth.log* | grep 'Failed password' | grep sshd | awk '{print $1,$2}' | sort | uniq -c 690 Jan 10 58 Jan 11 </pre> <p>Le résultat exprime le nombre d'échecs de connexion SSH par jour (sic !). En gros, Presque 700 échecs de connexion pour une machine venant d'être mise en ligne. CQFD.</p> <p>Quelques faits :</p> <ul> <li>SSH est configuré par défaut chez Gandi pour ne pas autoriser les logins root,</li> <li>vous devez renforcer absolument le password de votre user de connexion,</li> <li>vous devez vous prémunir des attaques de force brute.</li> </ul> <p><strong>2. La solution</strong></p> <p>Un moyen tout simple est d'utiliser le logiciel <a href="http://fail2ban.org/wiki/index.php/Main_Page" hreflang="en">Fail2ban</a>.</p> <p><strong>Principe :</strong></p> <p>Analyser les échecs de connexion consignés dans le fichier /var/log/auth.log et mettre à jour le firewall en bannissant pour un temps donné les adresses IP apparaissant plus de tant de fois en échec dans le fichier en question.</p> <p><strong>Prérequis :</strong></p> <p>Installer un firewall. Iptables dans notre cas.</p> <p>Commande :</p> <pre> apt-get install iptables apt-get install fail2ban </pre> <p><strong>Configuration :</strong></p> <p>La configuration s'effectue dans le répertoire /etc/fail2ban. La configuration par défaut est dans le jail.conf que l'on peut altérer en créant le fichier jail.local. Comme cela, lors d'une update, pas d'écrasement de configuration.</p> <p>Mon fichier jail.local :</p> <pre> [DEFAULT] ignoreip = @IP1 @IP2 @IP3 [ssh] maxretry = 3 </pre> <p>Où @IPx sont les adresses sur lesquelles vous ne souhaitez pas de mise en liste noire. Cela peut être utile d'y mettre l'IP fixe de votre box domestique ou celle de votre sortie internet d'entreprise au cas où cela soit VOUS qui ayez oublié votre password <img src="/blog/themes/default/smilies/wink.png" alt=";-)" class="smiley" /></p> <p><strong>Résultat :</strong></p> <pre> root@XXX:/home/user1# cat /var/log/auth.log* | grep 'Failed password' | grep sshd | awk '{print $1,$2}' | sort | uniq -c 690 Jan 10 58 Jan 11 11 Jan 12 14 Jan 13 7 Jan 14 2 Jan 15 </pre> <p>Liste du nombre d'échecs de connexions sur SSH avec une installation de fail2ban le 11 Janvier. Spectaculaire hein ?</p> http://brocas.org/blog/post/2008/01/17/Gandi-Hebergement-part-2%3A-securiser-son-serveur-Ubuntu#comment-form http://brocas.org/blog/post/2008/01/17/Gandi-Hebergement-part-2%3A-securiser-son-serveur-Ubuntu#comment-form http://brocas.org/blog/feed/rss2/comments/38