Path: ...!weretis.net!feeder8.news.weretis.net!news.imp.ch!news.alphanet.ch!alphanet.ch!.POSTED.localhost!not-for-mail
From: Marc SCHAEFER <schaefer@alphanet.ch>
Newsgroups: fr.comp.securite
Subject: Re: Tentatives =?ISO-8859-1?Q?d=27acc=E8s?= SSH
Supersedes: <ssgbrv$54d$1@shakotay.alphanet.ch>
Date: Sat, 22 Jan 2022 07:32:09 -0000 (UTC)
Organization: Posted through ALPHANET
Message-ID: <ssgbtp$75k$1@shakotay.alphanet.ch>
References: <i3hqssF9nl0U1@mid.individual.net> <rr0hcu$ro3$1@shakotay.alphanet.ch> <Xze41w2uR3Jp7B1-bbbxROTrS7A@jntp> <sse5ln$ead$2@shakotay.alphanet.ch> <hsksbi-fh6.ln1@superman.unices.org>
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
Injection-Date: Sat, 22 Jan 2022 07:32:09 -0000 (UTC)
Injection-Info: shakotay.alphanet.ch; posting-host="localhost:127.0.0.1";
	logging-data="7348"; mail-complaints-to="usenet@alphanet.ch"
User-Agent: tin/2.4.3-20181224 ("Glen Mhor") (UNIX) (Linux/4.19.0-18-amd64 (x86_64))
Cancel-Key: sha256:pf2VgJ1Y1iEY9CDJ/ncHE6/evD8pw0SBHMVwSVwaajQ=
Cancel-Lock: sha256:IeH0ZAN0OAkWVqqsOqBhUSeshtaAjmdYnvl/fpAydA4=
Bytes: 3289
Lines: 43

Stephane Tougard <stephane@unices.org> wrote:
> Comme tu dis, au bout d'un an en faisant un essai par jour sur chaque
> machine, leur chance de trouver un couple login/password autres que
> "marc/1234" doit etre de l'ordre de 0.000....(beaucoup de 0)0001 sur
> cent.
> 
> Faut mieux les bloquer, c'est plus sur.

Donc, pour ceux qui n'ont pas accès à des sondes sur plusieurs adresses
IP de sous-réseaux différents, cela signifie bloquer l'accès SSH dès la
*1ère* tentative incorrecte, ou compter les tentatives incorrectes sur
plusieurs jours, y compris avec un logrotate journalier.

Moi, je bloque dès 3 tentatives incorrectes, sur l'ensemble de mes
sondes (260 adresses IP différentes de 3 sous-réseaux complètement
différents). Et je bloque pour quelques heures. Mais s'il y a récidive,
je bloque pour beaucoup plus longtemps.

Alternative: dès une tentative incorrecte, consulter abuseipdb.com, et
si la confidence > 50% par exemple, bloquer l'IP. J'ai fait des tests
mais je n'ai pas encore mis en place.

> On peut aussi avoir un couple login/password raisonnablement compliqué
> et dormir sur ses deux oreilles.

Et je suis d'accord avec ça, mais quand tu fais du hosting de clients,
les clients peuvent faire n'importe quoi. Mon dernier piratage avéré (*)
date de 2009 quand un client avait installé un compte demo avec mot de
passe demo sur un SSH ouvert sur Internet.

J'ai heureusement détecté le piratage grâce à mon IDS (snort) suite à
des actions idiotes du pirate, et j'ai pu bloquer le compte sans autre
effet. D'après le .bash_history, le pirate était un peu débutant,
heureusement ...

On essaie de sensibiliser: n'ouvrez que les ports strictement
nécessaires, supprimez l'authentification par mot de passe mais
utiliser pubkey ou keypad, etc, mais cela ne marche pas toujours.

D'ailleurs la configuration par défaut dans le hosting `conteneur' est
exactement comme ça.

(*) il y a peut-être des pirates intelligents qui se baladent dans mes
infrastructures quand même, on ne sait jamais ...