4 votes

will avatar

Problème potentiel de sécurité SSH ?

Demandé el 4 de Mai, 2011
Quand la question a-t-elle été
1907 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je viens de faire un 'netstat -a' sur ma machine FreeBSD. J'ai découvert ce qui suit :

Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 40 turban.ssh host90.embarqser.60230 ESTABLISHED
tcp4 0 0 turban.ssh host90.embarqser.59985 LAST_ACK
tcp4 0 0 turban.ssh host90.embarqser.47224 TIME_WAIT
tcp4 0 0 turban.ssh host90.embarqser.9304 LAST_ACK

Quelqu'un pourrait-il s'introduire dans ma machine ? Mon nom d'hôte est 'turban' comme vous pouvez le voir. Je suis vraiment "novice" en matière de sécurité des systèmes. Quelqu'un pourrait-il m'éclairer ?

De /var/log/auth.log , un grand nombre d'erreurs comme :

May 4 20:07:10 turban sshd[47801] : Failed keyboard-interactive/pam for invalid user backup from 76.7.43.90 port 11831 ssh2

May 4 20:07:13 turban sshd[47804] : error : PAM : erreur d'authentification pour le bin de 76.7.43.90....

Demandé el 4 de Mai, 2011 par will

Réponses

Trop de publicités?

2voto

Kayla avatar
Kayla Points 141

Consultez le fichier /var/auth.log pour plus d'informations.

Si quelqu'un essaie d'accéder à votre machine, il est enregistré dans ce fichier.

Exemple tiré de mon auth.log :

Apr 24 13:53:16 my-server sshd[8107] : Failed password for invalid user db2 from 123.123.123.123 port 59167 ssh2

Pour voir l'IP des utilisateurs connectés (connexions SSH), tapez ceci :

netstat -atn | egrep '(:22)' | egrep -v '(:::|0.0.0.0)' | awk '{print substr($5,0,length($5)-5)}' | sort | uniq -c

Vous obtiendrez ainsi l'IP et le nombre de connexions/IP.

Répondu el 4 de Mai, 2011 par Kayla (141 Points )

1voto

sez avatar
sez Points 149

Je ne m'inquiéterais pas trop de cette découverte spécifique. Peut-être que quelqu'un a essayé de " coup de poing port-scan" sur votre port SSH (par exemple avec un scanner de dictionnaire), mais n'a pas réussi puisque vous n'avez qu'un mot de passe ou une clé d'authentification.

Pour enrichir vos connaissances, lisez ce blogpost Améliorer la sécurité de l'accès à distance SSH à pour voir ce que vous pouvez faire d'autre, en particulier la partie "Allow Only Specific User to Log In by SSH" (Autoriser seulement un utilisateur spécifique à se connecter par SSH). Et ne pas autoriser Connexion à la racine par SSH !

Répondu el 4 de Mai, 2011 par sez (149 Points )

1voto

Kromey avatar
Kromey Points 4867

La réponse courte est que quelqu'un essaie de s'introduire dans votre système, très probablement par le biais d'une variante de l'attaque par dictionnaire typique (c'est-à-dire en essayant des combinaisons courantes de nom d'utilisateur et de mot de passe, au lieu de les deviner au hasard).

En plus des excellents conseils de @Henk (je crée un groupe spécifique, généralement sshusers et n'autoriser que les utilisateurs de ce groupe à se connecter, par exemple), je suggérerais d'installer Fail2ban sur votre système avec une prison SSH configurée. Cela augmentera la difficulté d'une attaque par force brute contre votre serveur et la rendra presque impossible, puisque les attaquants se retrouveront soudainement coupés du monde pendant un certain temps lorsqu'ils essaieront ; combinez cela avec le mode d'emploi intitulé Surveillance de Fail2ban Fail2ban pour créer une réponse élevée à une attaque (la mienne est configurée avec une interdiction par défaut de 10 minutes au départ, puis d'une semaine complète en cas de persistance), et vous pouvez tout simplement cesser de vous inquiéter (à condition d'avoir au moins des mots de passe suffisamment forts ; utilisez des pubkeys à la place et vous serez pratiquement invincibles !)

Répondu el 4 de Mai, 2011 par Kromey (4867 Points )

1voto

karatedog avatar
karatedog Points 819

Mes journaux sont remplis de Russes, d'Américains qui essaient des noms anglais sur mon 22ème port. Dommage pour eux, j'ai déplacé le port SSH à 307, et j'utilise le port-knocking sur le port 54321 pour ouvrir le port SSH.

Répondu el 4 de Mai, 2011 par karatedog (819 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X