Le lundi 07 novembre 2005 à 13:53 +0100, Christophe Lincoln a écrit :
> Bonjour la liste,
Coucou!
>
> 2 petites quetions, ma machine serveur est régulièrement scannée,
>
> et je reçois des rapports régulier de logcheck m'avertissant de tentatives
>
> d'accès echouées par ssh, avec des nom d'utilisateur divers ( des milliers).
>
[...]
>
> J' ai aussi constaté un tentative échouée d'utilisation de notre serveur comme relais!
>
> Mais heureusement Debian est trés bien sécurisée par défaut! Merci Debian!
> (je n'ai pas touché a la config de Postfix sauf pour
>
> Security Events
> =-=-=-=-=-=-=-=
> Nov 3 01:44:27 localhost postfix/smtpd[14024]: NOQUEUE: reject: RCPT from
> 219-84-8-16-adsl-tpe.dynamic.so-net.net.tw[219.84.8.16]: 554 <dvdr_mail2000@yahoo.com.cn>:
> Relay access denied; from=<lee@msa.hinet.net> to=<dvdr_mail2000@yahoo.com.cn>
> proto=SMTP
>
> C'est bien une tentative de relay?
oui
> Dois-je avertir quelqu'un?
non. Une adresse à taiwan, je doute que tu obtiennes quoi que ce
soit....
>
>
> Du coup j'ai installé harden, désinstallé le ftp, telnet et des services d'inetd, au profit de ssh en interdisant
> la connexion ssh de root, j'utilise plutôt su. J'ai aussi configuré iptable avec firestarter pour n'ouvrir que
> les ports pour Apache , ssh, et dns, mais dans un provhe avenir je vais utiliser le smtp et le pop.
>
> Que puis-je faire de plus pour sécutisé ma Debian chérie? et surtout ssh car depuis le message du 2 nov ci-dessus
> j'ai eu encore pleins de tentatives!
modifier les ports d'écoute? Mais il y a des ports standards, autant les
utiliser; ce qui compte vraiment c'est que ton système soit à jour et
bien configuré.
Par contre il peut etre intéressant de loguer/droper les paquets qui
viennent d'ip [de groupes d'ip] qui reviennent souvent; par ex:
> whois 219.84.8.16
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 219.84.0.0 - 219.85.255.255
netname: SONET-NET
country: TW
descr: Sony Network Taiwan Limited
descr: 2Fl., Building E, No. 19-13, San Chung Road
descr: Taipei Taiwan 115
admin-c: JC417-AP
tech-c: CC115-AP
status: ALLOCATED PORTABLE
changed: hm-changed@apnic.net 20031125
mnt-by: MAINT-TW-TWNIC
source: APNIC
Si tu n'es pas censé recevoir de connexion de taiwan, tu drop les
paquets provenant de la classe d'adresses retournée:
#iptables -t filter -A INPUT -i eth0 -s 219.84.0.0/15 -j DROP
Ou si les ip depuis lesquelles tu te connectes au ssh sont connues, tu
les autorises explicitement et tu drop toutes les autres:
#iptables -t filter -A INPUT -i eth0 -s !w.x.y.z --dport 22 -j DROP
> J'espère avoir été assez clair.
>
> Christophe
++ ;)
>
>
--
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net (F15B8BAD)
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
\|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn__\_^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/
Attachment:
signature.asc
Description: This is a digitally signed message part