Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Tentative d'intrusion

Dekkard

Bonjour,

Depuis quelques jours Logwatch m'indique de vraisemblables tentatives d'intrusion :

 --------------------- pam_unix Begin ------------------------ 

 sshd:
    Authentication Failures:
       unknown (61.255.238.108): 193 Time(s)
       root (61.255.238.108): 160 Time(s)
       unknown (211.154.132.132): 46 Time(s)
       root (211.154.132.132): 32 Time(s)
       unknown (222.156.220.25): 7 Time(s)
       root (222.156.220.25): 5 Time(s)
       mysql (211.154.132.132): 3 Time(s)
       mysql (61.255.238.108): 2 Time(s)
       ftp (61.255.238.108): 1 Time(s)
       nobody (222.156.220.25): 1 Time(s)
       postgres (61.255.238.108): 1 Time(s)
    Invalid Users:
       Unknown Account: 246 Time(s)
 
 
 ---------------------- pam_unix End -------------------------

J'ai déjà configuré ssh pour qu'il n'accepte pas les login en root. Mais j'aimerai carrément bloque ces IP grâce à /etc/host.deny et pas seulement pour sshd.

Voici ma première tentative :

#
# hosts.deny    This file contains access rules which are used to
#        deny connections to network services that either use
#        the tcp_wrappers library or that have been
#        started through a tcp_wrappers-enabled xinetd.
#
#        The rules in this file can also be set up in
#        /etc/hosts.allow with a 'deny' option instead.
#
#        See 'man 5 hosts_options' and 'man 5 hosts_access'
#        for information on rule syntax.
#        See 'man tcpd' for information on tcp_wrappers
#
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow.  In particular
# you should know that NFS uses portmap!
#
ALL: apsylis.kamayo.com
ALL: 200.97.86.154

Mais j'ai une erreur (merci logwatch 🙂)

 --------------------- SSHD Begin ------------------------ 

 
 Failed logins from:
    61.255.238.108: 164 times
    211.154.132.132: 35 times
    222.156.220.25: 6 times
 
 Illegal users from:
    61.255.238.108: 193 times
    211.154.132.132: 46 times
    222.156.220.25: 7 times
 
 
 Received disconnect:
    11: Bye Bye : 450 Time(s)
 
 **Unmatched Entries**
 warning: /etc/hosts.deny, line 19: missing newline or line too long : 358 time(s)
 warning: /etc/hosts.deny, line 19: missing ":" separator : 358 time(s)
 
 ---------------------- SSHD End -------------------------

J'ai lu man host.deny, mais je ne comprends pas mon erreur...
Quelqu'un peut-il m'aider ?

La machine est un serveur (pour le moment, il fournit l'accés à internet avec filtrage squid/dansguardian, pare-feu, dhcp, partages réseaux samba, centralisation des documents avec accés par samba/nfs, divers services web [ILIAS, OCS NG/GLPI]). Le LAN est sûr (relativement :roll: lol) et je dois pouvoir continuer à accéder à ce serveur depuis webmin, usermin et NX. Je dois aussi pouvoir accéder aux services web depuis l'extérieur. Enfin, deux fois par semaine, il sauvegarde un max de données (fichier 7z compressé, crypté avec mot de passe) sur mon ftp grâce à une commande lftp.

Minuteman

Tu ne vas jamais t'en sortir en agissant de la sorte, ces scans sont faits automatiquement par des centaines d'IP qui changent tout le temps. La manière propre serait de prendre le problème par l'autre bout et de n'autoriser le SSH que pour certaines IP dans iptables, à mon avis.

Dekkard

OK, mais quand je me connecte depuis l'extérieur, mon IP elle, n'est pas fixe... Je suis chez Orange en ADSL 8Mega, donc mon adresse IP est renouvelée généralement toutes les 24/48 heures.
De plus j'utilise firestarter pour configurer mon pare-feu (et un poil de commandes en ligne iptables), pas le iptables de Fedora (je n'ai jamais pu partager la connexion internet avec ce dernier, alors que cela s'est fait en deux minutes avec firestarter). Je ne sais pas si c'est clair (merci REd Hat pour la confusion).

opossum1er

T'as déjà regardé du côté de fail2ban?

hugsy_75

salut

Dekkard wrote:De plus j'utilise firestarter pour configurer mon pare-feu (et un poil de commandes en ligne iptables), pas le iptables de Fedora (je n'ai jamais pu partager la connexion internet avec ce dernier, alors que cela s'est fait en deux minutes avec firestarter). .

Si tu regardes en profondeur, firestarter se contente de créer un script shell pour iptables à partir des informations passées par l'interface graphique (plutôt rudimentaire mais facile à prendre en mail). firestarter est très loin d'exploiter toutes les possibilités d'iptables.
Personnellement pour ton problème, je te conseille vraiment d'utiliser les iptables, ca serait réglé en quelques commandes. Si tu es allergique à la ligne de commande, tu peux utiliser fwbuilder, qui est la même chose de firestarter, mais en beaucoup complet car il permet d'exploiter beaucoup plus de fonctionnalités d'iptables. De plus c'est assez agréable à utiliser 🙂

Donc pour ton problème , il te suffira de rajouter une règle interdisant tout paquet dont la source est l'IP (ou la plage IP) que tu souhaites.

A+

aka Shiva

Minuteman wrote:Tu ne vas jamais t'en sortir en agissant de la sorte, ces scans sont faits automatiquement par des centaines d'IP qui changent tout le temps...

Pour en revenir brièvement à ces inquiétudes à l'origine du post, c'est vrai que ça ne sert à rien de tomber dans la paranoïa. Un solide mot de passe root peut suffire largement: que ça ne soit pas un mot du dictionnaire. En décembre dernier je me suis fait flooder par une bande organisée franco-néerlandaise (néerlandaise, c'est moins sûr). J'ai pu identifier en tout cas les français qui en étaient à l'origine. J'ai juste changé mon mot de passe non sécurisé et tout est rentré dans l'ordre. :-P

Il faut dire que je ne m'en serais jamais douté puisque je ne fais qu'un usage personnel et ludique de Linux.

Ceci dit, je vous laisse poursuivre...:-D

baptistoux

Salut,
comme te l'a conseillé opossum1er, regarde du coté de fail2ban. Pour ce qui est du partage de ta connection internet, il te faut changer la valeur de ip_forward a 1 :

 echo 1 > /proc/sys/net/ipv4/ip_forward

eponyme

+1 pour fail2ban.
Il a fait largement baisser mes logs de tentatives de connexions.

epo

Dekkard

Merci pour toutes ces suggestions. Elles sont très intéressantes.

- j'ai déjà un bon mot de passe root (> 15 caractères alpha/num/spéciaux) ;
- je viens d'implémenter fail2ban. La documentation wiki devrait d'ailleurs être modifiée à son sujet (il y a 2 fichiers de configuration maintenant et il ne se limite plus à sshd). Sympa ce petit utilitaire. Merci à sa majesté opossum1er 😉 ;
- à hugsy_75. En effet utiliser iptables/netfilter pour limiter les plages d'IP est intéressant. Je ne suis pas du tout réfractaire à la ligne de commande. Je me sert des outils graphiques quand je la maîtrise mal ou quand je sais pouvoir obtenir rapidement avec, le résultat souhaité, sinon j'utilise beaucoup la ligne de commande (en tous cas, j'essaye 😉). Je vais me plonger dans les tuto et le man d'iptables et tester ce fwbuilder sur une machine virtuelle pour voir.
- mon /etc/hosts.deny contenait une erreur à la ligne 19. Après relecture du man, c'est corrigé en ALL: .kamayo.com. Je ne devrais plus avoir cette erreur.
- à baptistoux : c'était la première chose que j'ai faite (avec la règle de masquerade), mais que dalle avec le service iptables de Red Hat. J'y ai passé deux jours pour finalement tester firestarter qui m'a résolu le problème en 2 minutes chrono. La cause était peut-être la topologie du serveur (2 cartes réseaux, 1 pour le local et une à qui l'on connecte un modem ADSL en ppp0 dont la seule fonctionnalité est de permettre la connection à internet).

Merci à tous.

paddiloo

... un mois après la bataille.

Si tu regardes en profondeur, firestarter se contente de créer un script shell pour iptables à partir des informations passées par l'interface graphique (plutôt rudimentaire mais facile à prendre en mail).

+1

Face au même problème une petite modif des scripts de firestarter m'a aisément permis d'ajouter (à base de copier/coller) les règles iptables nécessaires.

firestarter est très loin d'exploiter toutes les possibilités d'iptables.

Mais c'est amplement suffisant pour une utilisation basique, non?

A savoir, firestarter fait appel à deux scripts utilisateurs ([q]/etc/firestarter/user-pre[/q] et [q]/etc/firestarter/user-post[/q]) où chacun peut faire sa petite cuisine additionnelle dans iptables.

ex. [q]/etc/firestarter/user-pre[/q]:

# Allow traffic on the OpenVPN interface
$IPT -A FORWARD -i tun+ -j ACCEPT
$IPT -A INPUT -i tun+ -j ACCEPT
$IPT -A OUTPUT -o tun+ -j ACCEPT

# Hosts from which connections are always denied
while read host garbage
do
$IPT -A INPUT -s $host -j DROP
done < /etc/firestarter/deny-from

où [q]/etc/firetstarter/deny-from[/q] contient la liste des IPs que je veux banir définitivement (moi aussi j'ai eu droit au robot essayant tout les utisateurs et mots de passes possibles, et fail2ban commençait a fatiguer ma mailbox)

ex. [q]/etc/firestarter/user-post[/q]:

# Unconditionally allow ip forwarding for OpenVPN
if [ -e /proc/sys/net/ipv4/ip_forward ]; then
echo 1 > /proc/sys/net/ipv4/ip_forward
fi

Si ça peut servir à d'autres...

Dekkard

Il n'est jamais trop tard et je suis sûr que ça va servir.

Je trouve intéressant le truc OpenVPN (ça va me servir quand je vais me pencher sur le VPN) et la façon de bloquer certaine IP définitivement. En plus ton exemple me donne enfin la bonne façon d'écrire quelque chose qui soit pris en compte dans ce user-pre que j'avais repéré.
Je vais pouvoir bloquer correctement (c-a-d même après reboot ou redémarrage de netfilter via firestarter) une adresse MAC inconnue (repérée grâce au fichier des leases de dhcp), dont je suspecte le détenteur d'avoir hacké notre WEP (mon matos ne gère pas à ma connaissance le WPA et il faudrait que je fasse une demande à notre mairie pour avoir un remplacement des cartes wifi de portables et comme on cherche déjà à câbler les classes... j'ai pas à vous expliquer que c'est pas pour demain, 😉).

Merci beaucoup pour ta contribution.

LOOPING

Salut,

J'utilise FW_Builder pour configurer Iptables de A à Z.

philippe83

iptables ne se configure pas.
C'est Netfilter qui se configure.
Iptables est simplement l'interface pour configurer netfilter.