Path: ...!weretis.net!feeder8.news.weretis.net!news.imp.ch!news.alphanet.ch!alphanet.ch!.POSTED.localhost!not-for-mail From: Marc SCHAEFER Newsgroups: fr.comp.securite Subject: Re: Tentatives =?ISO-8859-1?Q?d=27acc=E8s?= SSH Supersedes: Date: Sat, 22 Jan 2022 07:32:09 -0000 (UTC) Organization: Posted through ALPHANET Message-ID: References: Mime-Version: 1.0 Content-Type: text/plain; charset=ISO-8859-1 Content-Transfer-Encoding: 8bit Injection-Date: Sat, 22 Jan 2022 07:32:09 -0000 (UTC) Injection-Info: shakotay.alphanet.ch; posting-host="localhost:127.0.0.1"; logging-data="7348"; mail-complaints-to="usenet@alphanet.ch" User-Agent: tin/2.4.3-20181224 ("Glen Mhor") (UNIX) (Linux/4.19.0-18-amd64 (x86_64)) Cancel-Key: sha256:pf2VgJ1Y1iEY9CDJ/ncHE6/evD8pw0SBHMVwSVwaajQ= Cancel-Lock: sha256:IeH0ZAN0OAkWVqqsOqBhUSeshtaAjmdYnvl/fpAydA4= Bytes: 3289 Lines: 43 Stephane Tougard wrote: > Comme tu dis, au bout d'un an en faisant un essai par jour sur chaque > machine, leur chance de trouver un couple login/password autres que > "marc/1234" doit etre de l'ordre de 0.000....(beaucoup de 0)0001 sur > cent. > > Faut mieux les bloquer, c'est plus sur. Donc, pour ceux qui n'ont pas accès à des sondes sur plusieurs adresses IP de sous-réseaux différents, cela signifie bloquer l'accès SSH dès la *1ère* tentative incorrecte, ou compter les tentatives incorrectes sur plusieurs jours, y compris avec un logrotate journalier. Moi, je bloque dès 3 tentatives incorrectes, sur l'ensemble de mes sondes (260 adresses IP différentes de 3 sous-réseaux complètement différents). Et je bloque pour quelques heures. Mais s'il y a récidive, je bloque pour beaucoup plus longtemps. Alternative: dès une tentative incorrecte, consulter abuseipdb.com, et si la confidence > 50% par exemple, bloquer l'IP. J'ai fait des tests mais je n'ai pas encore mis en place. > On peut aussi avoir un couple login/password raisonnablement compliqué > et dormir sur ses deux oreilles. Et je suis d'accord avec ça, mais quand tu fais du hosting de clients, les clients peuvent faire n'importe quoi. Mon dernier piratage avéré (*) date de 2009 quand un client avait installé un compte demo avec mot de passe demo sur un SSH ouvert sur Internet. J'ai heureusement détecté le piratage grâce à mon IDS (snort) suite à des actions idiotes du pirate, et j'ai pu bloquer le compte sans autre effet. D'après le .bash_history, le pirate était un peu débutant, heureusement ... On essaie de sensibiliser: n'ouvrez que les ports strictement nécessaires, supprimez l'authentification par mot de passe mais utiliser pubkey ou keypad, etc, mais cela ne marche pas toujours. D'ailleurs la configuration par défaut dans le hosting `conteneur' est exactement comme ça. (*) il y a peut-être des pirates intelligents qui se baladent dans mes infrastructures quand même, on ne sait jamais ...