Alarmé par la taille imposante de mes fichiers “log secure” (avec une tentative de login SSH toute les secondes, ça va très vite), j’ai installé un script Python qui semble faire du bon boulot contre les “brute-force attacks”, DenyHosts.
[Une autre solution, un peu plus rustique à mes yeux, est BFD (Brute Force Detection) allié à APF (Advanced Policy Firewall).]
[Sans oublier la solution simple et drastique de faire du host-deny sur tout ce qui ne ressemble pas de près ou de loin aux réseaux d’où je me connecte habituellement.]
À l’examen de mes logs, je me suis rendu compte que les “brute-force attacks” était, pour 99,8 % des cas, le fait de script-kiddies qui utilisent des logiciels assez stupides. Ils auraient plus de chance de gagner à l’Euromillion que d’avoir mon accès root. À moins qu’il y ait encore des gens assez cons pour avoir des accès SSH du style “oracle/oracle”, “test/test”, “root, 1234”…
Ceci dit, ça m’agace de voir mes logs pollués. C’est mon côté maniaque… Ajoutez une once de paranoïa, il fallait que je réagisse.
De façon optionnelle, il est possible avec DenyHosts de communiquer les résultats de sa propre installation, ce qui donne des statistiques assez intéressantes sur les apprentis-hackers…
Parmi les IP fixes les plus agressives, c’est “China”, “China”, “China”, “China”, “China”, “China”, “China”, ad libitum… avec une une petite variation comme “Republic of Korea”. Une seule exception saute aux yeux, c’est 82.224.139.101 (juv34-1-82-224-139-101.fbx.proxad.net - juvenal-1). Je me dis qu’il y a une petite gueule à frapper du côté de Montpellier…
Autres outils à explorer : Fail2Ban, SSH Blocking, BlockHosts…
Quant au petit crétin abonné à Club-Internet qui fait actuellement des tentatives de hacks minables sur mon billet anti-chats, je lui dis de retourner voir sa mère, elle a des Carambar.
Séverine, 21 ans, commerçante : « Mon mari est quelqu’un de vraiment très doux, très calme. Mais quand il voit Sarkozy à la télé, il devient insupportable. Il jubile, comme s’il venait de trouver l’homme qui va remettre tout le monde au travail, faire marcher le monde à la baguette ». Elle ne sourit plus: « Hervé n’est pas comme ça d’habitude, j’vous jure ».
Ne jurez pas, je vous en prie, Séverine, ne jurez pas.
Scoop : Pierre C*****, qui souhaite rester anonyme, le retour.
Bon, vas-y Georges, un effort… La troïka me manque.
Le site communautaire MySpace, très populaire parmi les adolescents, a annoncé son intention de faire son entrée sur le marché de la musique numérique en vendant les chansons de plus de trois millions de groupes indépendants n’appartenant pas aux catalogues des grandes maisons de disques.
[…] Les chansons pourront être vendues sur les pages que les groupes possèdent sur MySpace ou sur celles des fans, au format MP3, qui présente l’avantage de ne pas être protégé par un copyright et d’être compatible avec une grande majorité des baladeurs numériques, dont l’iPod d’Apple, qui domine nettement le marché.
[Reuters : “MySpace vendra la musique de 3 millions de groupes indépendants”, via Michel 5.]
De ce que j’ai vu, Thomas Clément est celui qui a fait le travail de blogueur le plus intéressant sur l’université d’été de l’UMP, rien que pour ce moment : “Hugues, militant populaire !”.
Vinvin était parfait dans son rôle, jusqu’à ce qu’il ait eu l’intuition des limites et dangers de l’exercice dans un billet émouvant de sincérité et d’intelligence.
Pour les autres participations, on reste circonspect. (Ils ont même invité une blonde… le quota de femelles à gros seins, qui fait décoratif entre Doc Gynéco, Johnny Halliday et les plantes vertes en location de la salle de presse.)
Quant à cwty09juiz, heureusement qu’il n’était pas à Marseille, il eut été pris de priapisme. Ahhh, Roselyne, tu nous fais tous rêver.
Bertrand Delanoë, maire de Paris et pédale honteuse, rend hommage à Jean Paul II “sentinelle majeure des temps modernes”. Même Goasguen ne savait plus qu’en penser. (P.S. Alerte beaux mecs et étreintes viriles place Jean-Paul II, merde, pourquoi j’y étais pas.)
La honte irréparable d’Israël : les bombes à sous-munitions sur le Liban. Quand le terrorisme répond au terrorisme, c’est l’humanité qui trinque, pour le peu qu’il en reste.
Vive le conflit thermo-nucléaire global. Si vous saviez comme je regrette la chute du mur de Berlin…
Un producteur de vidéos sexy est à la recherche de jolies filles pour son prochain film. Quelle chance il a lorsqu’il tombe sur deux superbes créatures Ukrainiennes, une brunette et une rousse, qui se pavanent dans un parc. L’homme leur admet que ce qu’il veut faire en fait est de les baiser à tout prix devant ses caméras pour un film porno. Ce salaud leur offre même de l’argent pour acheter leurs petites culottes! Les deux minettes le suivent ensuite jusqu’à sa chambre d’hôtel où elles se foutent à poil et enfilent le mec. Il martèle bien leurs moules avant de se diriger vers le plus profond de leurs fions! Il monte ensuite sur la rousse et y va d’une bonne branlette espagnole entre ses gros nibards avant de masturber la perle de ses deux belles avec intensité. Finalement, il baise l’oignon de la brunette avant d’envoyer tout son nectar chaud dans la bouche de la rousse qui se tient juste en dessous du cul de sa copine.
J’en reste sans voix.
Ce concept assez génial d’utiliser le procrastinateur internet comme main d’oeuvre gratuite vient du chercheur américain Luis von Ahn du département de science informatique de l’université Carnegie Mellon.
Intercommunication : “Calcul humain de masse et Etiquetage ludique 2.0”.
Ça, c’est très Web 2.0.
(Et, n’oubliez pas, vous êtes Internet. — Michel 5 me faisait remarquer qu’il manquait Goatse dans la vidéo…)
I’m the Internet, you’re the Internet,
We’re the Internet, now that’s the Internet,
I like the Net, we love the Net, and I can prove it.
La démocratie fout le camp et on y peut rien, c’est un drame pour la France. [Michel Rocard, à lire chez Guy Birenbaum.]
“C’est plus de la colère que du défaitisme. Il faut supprimer l’élection du président au suffrage universel. Ce scrutin est aujourd’hui dévoyé.”
+1.
La présence de l’avocat n’est en rien exclusive du rôle de la caméra puisque le premier, en veilleur, a pu échouer là où la seconde pourrait constituer une vraie dissuasion. [Philippe Bilger : “La caméra ou la vérité ?”]
Une pierre dans le jardin d’Eolas.
Sad Song, remix.
Vous vous souvenez de l’original ?
sitenreveuxyenrena
Tu arrives même à voir quel post il cherche à hacker?
Olivier
PermitRootLogin no PasswordAuthentication no
C’est généralement pas mal d’avoir ça dans sa conf dès le départ. L’authentif par mot de passe c’est mal :)
PS: et “UsePAM no” aussi
Laurent
C’est pas un peu chiant à l’usage les clés ? (je demande juste, hein, je connais pas, je suis pas un geek moi…).
Laurent
Trouvé ça : “Five-Minutes to a More Secure SSH”.
Olivier
Bah les clés, c’est même plus simple que les mots de passe. Une clé sans mot de passe, encore plus, mais c’est pas très safe ça :)
L’avantage d’une clé, c’est que tu peux l’enregistrer au démarage de ta session (je suis sûr que mac os sait faire ça). Il va te demander une fois le mot de passe de la clé et après, les connections ssh avec cette clé se feront toutes seules :)
Laurent
Ok, je vais essayer.
Dam
Moi pour faire simple j’ai changé le port d’écoute … d’abort pour passer des firewalls un peu trop contraignants, et finalement aussi pour me proteger un peu de ce genre de chose (et comme tu le dis pour la pluparts ça suffit :)
Laurent
Bof, la plupart des attaques chez moi ne sont justement pas sur le port 22.
Maxime
Il y a bien un ssh-agent sur OS X, mais me demandez pas comment il marche. OS X, d’abord, ça pue, c’est pas libre. Essayez à tout hasard de taper ssh-add sur une console, on sait jamais.
Ensuite, vu les combinaisons qu’essayent ces Jean-Kevin pour se connecter, je crois que c’est complètement inutile de s’en inquiéter, si votre mot de passe n’est pas “1234”. Bon, c’est sûr que tout bloquer aux clefs, c’est quand même plus sur, mais c’est clairement pas indispensable.
Laurent
@Maxime : je suis un peu sur la même longueur d’onde. C’est principalement que toute cette pollution m’agace (genre le mec qui teste 4 000 prénoms sur tous les ports possibles). J’ai laissé root, mais le temps que l’on trouve le mot de passe (16 caractères alphanumériques), et, sachant que t’es viré au bout de 5 échecs avec DenyHosts, je crois que je peux dormir tranquille sur ce front là. Sinon, pour OS X, c’est un peu comme les fromages, c’est souvent ceux qui puent qui sont les meilleurs.
lolosquared
la petite gueule … c’est pas moi, je te jure …
Ju.
Ca evitera pas les tentatives mais elles seront irrremediablement vouees a l’echec :
PermitRootLogin no
AllowUsers captainmycaptain lapinou
A remplacer evidemment par le login utilisé dans /etc/ssh/sshd_config
Ca jette tout le monde et ca attend le bon mot de passe pour les utilisateurs concernés (captainmycaptain et lapinou).
Sinon le plus sur reste quand meme (en plus) d’utiliser les cles, avec un agent c’est tres confortable.
Plus d’infos/astuces.
Laurent
Par mesure de sécurité, Lapinou n’est pas autorisé à faire du SSH ;-)
Yann
J’attends toujours le remplacant de sshkeychain Cela te permet de gérer tes clefs SSH et tes tunnels sans trop te casser la tête.
Pourquoi j’attends un remplaçant? Parce que sshkeychain a quelques bugs d’interface et des popups agaçantes quand les connexions réseaux sont montées/démontées. Mais uniquement pour les tunnels.
Damien B
Je dis halte à la diffamation, y’a plus d’attaques du Mexique et de Corée que de Chine, j’en suis sûr.
Nuits de Chine
Tu peux aussi utiliser sshdfilter - n’ayant aucun usage de Python sur mes machines, ça m’a évité de devoir l’installer.
Blah ? Touitter !