Bloque les acces ssh


#1

bonjour
comment faire pour pour bloquer les access a ssh au bout de 3 essais
style interdit IP de l’user
a+ gilles


#2

Je voulais te dire de mettre la directive “MaxAuthTries 3” dans ton fichier /etc/ssh/sshd_config mais je viens de m’apercevoir que sauf erreur, cette directive ne fonctionnne que pour la version Solaris de ssh…
Mais bon, même avec cette directive, ça n’interdirais pas à une adresse IP de se logguer ultérieurement.
Pour ce que tu veux faire, il faudrait peut-être voir du côté de iptables. Désolé, je ne connais pas assez la bestiole pour t’aider plus …


#3

merci quand meme


#4

Je ne connais pas iptable mais j’avais déjà réfléchis un peu sur ce genre de choses a faire au vu de certaines tentatives de connections par brute force.

Je pensais donc faire un script qui suivant les nombres de tentatives de connections echoués dans un certain laps de temps bannissait l’ip pendant 12 à 24h.

Le script serait du type :

  • Vérifie les logs de connections sur ssh
  • Si c’est supérieur a 5/min pour la meme ip
  • Création d’une règle iptables pour bloquer cette ip
  • Mise en cache de l’heure a laquelle l’ip est bloqué ainsi que l’ip
  • Test si l’ip est bloqué depuis plus de 12 ou 24h on débloque

Le debloquage de l’adresse ip permet d’éviter de bloquer tout le monde et si un jour on se retrouve avec cette ip la et que l’on souhaite se connecter sur sa machine. Comme elle n’aura pas été débloquer impossible de se connecter.

J’espère avoir un peu aider


#5

bonjour
c’est exactement le but que je recherche pour limiter les connection par force brute
mais voila j’ai des limites dans le developpement de script touchant au system
un coup de main serais bienvenue , as tu une approche de script? a deux ont n’a plus de chance
a+ gilles


#6

Tu as raison a deux on arriveras plus facilement a faire quelque chose.
J’hésitais un peu dans le langage a prendre mais la actuellement je pencherais plus sur du perl ou du bash comme on a pas mal de chaine de caractere a travailler je pencherais sur du perl. Apres je n’ai pas encore réfléchis vraiment a comment je devais commencer.

Je pense qu’avant de coder il serait plutot judicieux de présenter un plan de ce que l’on souhaite faire un peu comme celui que j’ai fait dans mon poste précédent.


#7

Vous avez jeté un oeil sur fail2ban ?

bob-laptop:~# apt-cache show fail2ban
Package: fail2ban
Priority: optional
Section: net
Installed-Size: 240
Maintainer: Yaroslav Halchenko <debian@onerussian.com>
Architecture: all
Version: 0.5.4-5.14
Depends: python, iptables
Filename: pool/main/f/fail2ban/fail2ban_0.5.4-5.14_all.deb
Size: 31306
MD5sum: 23fabae4cbfdab1ec90e4f1bb1a20e93
Description: bans IPs that cause multiple authentication errors
 Monitors (in daemon mode) or just scans log files (e.g. /var/log/auth.log,
 /var/log/apache/access.log) and temporarily bans failure-prone
 addresses by updating existing firewall rules.  Currently, by default,
 supports ssh/apache but configuration can be easily extended for scanning
 the other ASCII log files. Firewall rules are given in the config file,
 thus it can be adopted to be used with a variety of firewalls (e.g. iptables,
 ipfwadm).
 .
 Homepage: http://www.sourceforge.net/projects/fail2ban

#8

salut

:astonished:) pourquoi reinventer la roue

a+


#9

bobx
pourrais me dire quelle ligne as tu mis dans ton sources.list pour recuperer fail2ban
j’ai une sarge avec un noyau 2.6 ca doit etre bon
j’ai mis celle-ci mais nada rien
deb-src ftp://ftp.fr.debian.org/debian unstable main non-free
a+ merci


#10

Normal, la ligne que t’as mis c’est pour télécharger des sources, essaye plutôt avec deb au début. D’aprés le site debian, il est dispo en unstable et en testing, donc tu peux rajouter l’une de ces deux lignes :

deb ftp.fr.debian.org/debian unstable main
deb ftp.fr.debian.org/debian testing main

Et n’oubli pas de faire un apt-get update aprés :wink:


#11

arg le naze que je suis

merci maintenant sa roule installer , parametrer et en fonction

a+ gilles


#12

Ca peut toujours etre marrant de réinventer la roue. Et c’est ce que je fait assez souvent. Mais la, j’ai vraiment pas envie de m’embeter je vais regarder fail2ban.

Merci pour tout ça!


#13

le l’ai installer , je te tiens au courant

a+ gilles