Re: intrusion par ssh
Le mercredi 23 mars 2005, à 11:56:18, SULEK Nicolas DSIC BA écrivait :
>
> franck@linuxpourtous.com a écrit :
>
> >Hello,
> >
> >
> >
> >>Bonjour,
> >>
> >>Ci-après le contenu de deux logchecks de ce matin. Il me semble
> >qu'il >s'agit de tentatives (infructueuses:) de se loguer sur ma
> >machine via >ssh.
> >>
> >>Quelqu'un peut-il m'indiquer comment je devrais réagir en termes de
> >>sécurisation, identification (commandes) et répression (abuse)?
> >>
> >>
> >
> >1/ Ne pas permettre de se logguer directement root en SSH
> >2/ Mettre les IPs dans le host.deny
> >3/ Tracer les IPs
> >4/ Surveiller les logs
> >5/ Mailer le provider de l'IP
> >6/ Garder les logs
> >
> >Voilà ce que je peux te dire. Il y a certainement d'autres choses à
> >faire ;)
> >
> >++
> >
> >
> >
> on peut aussi changer le port de ssh, ça permet d'éviter pas mal de
> scripts dans ce genre.
>
>
> Ministère de l'Intérieur
> SG/DSIC/SDEL/BA
> Pôle Architecture Technique
>
>
Merci pour vos réponses, donc dans l'ordre:
1/ ok déjà fait. su,sudo,sux sont là pour ça
2/ c'est vrai que les IP dynamiques changent de moins en moins souvent,
mais est-ce que ce n'est pas un peu radical comme solution? ou alors
temporairement (1 jour/mois/an?).
3/
Pour le premier:
traceroute 211.176.33.46
...
13 so-0-0-0.mpr3.pao1.us.above.net (64.125.27.81) 179.499 ms 226.335
ms 179.101 ms
14 208.185.161.164.hanaro.com (208.185.161.164) 236.438 ms 223.844 ms
198.113 ms
... et je le touche au 19ème saut
Pour le second:
traceroute 62.193.236.45
...
5 wpc0616.amenworld.com (62.193.236.45) 41.739 ms 44.809 ms 41.366
ms
4/ d'où ce fil
5 et 6/ avec les logs en pj, ok
Réduire l'utilisation en local : pas possible pour moi, j' ai un
'trusted network', ssh ne me sert que via internet.
Changer le port d'écoute: comment le choisir? < ou >1024? selon
/etc/services?
Bannière: désactivée par défaut.
Connexion sans clés: ok, mais le StrictHostKeyChecking sur des IP
dynamiques, c'est pas toujours facile.
Reply to: