Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Fedora 35 est disponible sous le nouveau nom de Fedora Linux 35

#1 01/10/2018 10:03:04

jb1
Membre
Inscription : 01/08/2005
Messages : 298

[Résolu] maximum attaque autoriser par une @IP Chinoise

Bonjour,
c'est regulier,
j'ai des tentatives frauduleuse de connexion ssh

09:51
error: maximum authentication attempts exceeded for root from 42.7.27.165 port 44840 ssh2 [preauth] sshd
09:51
error: maximum authentication attempts exceeded for root from 42.7.27.165 port 59952 ssh2 [preauth] sshd
09:50
error: maximum authentication attempts exceeded for root from 42.7.27.165 port 2690 ssh2 [preauth] sshd

le parefeu est solide?

j'ai 2 plages @IP  à rejetter, dans le parefeu je fais comment SVP?

Hors ligne

#2 01/10/2018 10:57:05

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 536
Site Web

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

Perso j'ai changé le port de ssh, puis installé Fail2ban qui vas les bannir au bout de 3 tentatives.

Voir la doc Fail2ban, c'est complémentaire au pare feu.

Si tu change le port, il faut penser à modifier la règle ssh dans le pare feu, ainsi que de le déclarer à selinux si tu l'utilise.

Depuis plus de souci avec les espions chinoix du FBI, le KGB et autres poutinerie du genre...


AMD R7 5800x, MSI Pro Carbon X470, 32Go DDR4 3200@3400Mhz Gskill TridentZ CL14,5700XT MSI WaterCooling OC, SSD : 1xPNY LXR8 1To + 1x970EVO 500Go + 2x500Go 860EVO, 3x1To 860EVO, HDD WD 2To + 4To Black, 3To Red, BeQuiet Purepower 1000W plat, BSGT Dark 900
AMD R7 2700x + 16Go DDR4 2933Mhz, 1xPNY LXR8 1To, 2x1To 860QVO, BMT MasterBox Q300L
AMD R5 2600, Asus A320, 24Go DDR4 2133Mhz, 1x250GO SSD, 3x 2To RAID5 WDBlue, BCubes Chieftec + AMD A6 9500, 8Go, SSD 250Go

Hors ligne

#3 01/10/2018 10:59:56

penthium2
Membre
Lieu : Fay de bretagne
Inscription : 01/12/2010
Messages : 959
Site Web

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

il y a aussi portsentry qui est un bon complément a fail2ban :D


viperr
1473344938_signature.png
Ph'nglui nglw-nafh Cthulhu R'lyeh wgah-nagl fhtagn

Hors ligne

#4 01/10/2018 11:10:46

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

Bienvenue sur Internet. Rien que changer le port SSH par défaut resoudra ce genre de soucis. Attention il faut aussi autoriser SELinux pour SSH sur le nouveau port ! https://www.linuxed.net/post/2018/01/06 … aut-de-SSH


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#5 01/10/2018 11:15:20

Refuznik
Membre
Inscription : 31/01/2007
Messages : 7 992

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

Oui le parefeu est solide mais ça n'a rien à voir avec.
Utilise tu une connexion ssh sur ton ordi ?
Sinon tu peux utiliser iptables pour bannir les adresses ip https://doc.fedora-fr.org/wiki/Parefeu_ … -_iptables

@Madko : changer le port est une fausse protection, ça fait plus de quinze ans que les attaquant utilisent des scans de port.

Dernière modification par Refuznik (01/10/2018 11:21:19)

Hors ligne

#6 01/10/2018 11:24:47

jb1
Membre
Inscription : 01/08/2005
Messages : 298

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

bonjour,
j'avais un  peu anticipé :
-enlever ssh du FW
-invalider sur ........:9090 ssh

à priori plus de log (:9090)
merci à vous tous,
bonne jouurnée

Hors ligne

#7 01/10/2018 11:28:37

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

@Refuznik c'est pas ce qu'on constate sur nos serveurs. J'aurais du préciser d'utiliser un port élevé genre 10022, ou 2200. Les bots scannent des plages d'IP conséquentes, ils ont pas le temps de scanner tous les ports par IP ! Après le top c'est d'ajouter un port knocking. Mais vraiment, juste changer le port on passe de plusieurs milliers de tentatives par jour, à 0 en mettant un port élevé. Pas mal non ?


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#8 01/10/2018 11:45:30

penthium2
Membre
Lieu : Fay de bretagne
Inscription : 01/12/2010
Messages : 959
Site Web

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

et d'ou l’intérêt de portsentry qui bloque les scans de port :D


viperr
1473344938_signature.png
Ph'nglui nglw-nafh Cthulhu R'lyeh wgah-nagl fhtagn

Hors ligne

#9 01/10/2018 11:46:59

jb1
Membre
Inscription : 01/08/2005
Messages : 298

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

OK madko

Hors ligne

#10 01/10/2018 12:14:53

Refuznik
Membre
Inscription : 31/01/2007
Messages : 7 992

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

Je n'ai suis jamais monté à 10022 comme toi. mais quant j'avais des serveurs en prod. même en changeant le port ça ne changeais rien au problème. Bon à ma décharge les serveurs était chez ovh et on se faisait scanner/attaquer toutes les semaines même par des serveurs aussi chez ovh. Donc j'ai installé fail2ban et ça à résolus les problèmes.

Dernière modification par Refuznik (01/10/2018 12:15:46)

Hors ligne

#11 01/10/2018 14:29:17

jb1
Membre
Inscription : 01/08/2005
Messages : 298

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

fail2ban, installé, actif valider

on va voir!

pour prendre en compte mariadb/phpmyadmin
il y a un exemple pour le port 3306

Hors ligne

#12 01/10/2018 17:49:29

fedoix
Membre
Inscription : 26/07/2010
Messages : 128
Site Web

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

Ton serveur ssh est directement interfacé dans le WAN ? ou derrière un LAN ??


Great ! We have snakes under crack !

Hors ligne

#13 01/10/2018 17:58:31

jb1
Membre
Inscription : 01/08/2005
Messages : 298

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

trés bonne question,
sur le pare-feu graphique:
ssh est non sélecté sur les 2 interfaces enp7s0 et enp8s0

je maitrise mal le pare-feu

Hors ligne

#14 01/10/2018 18:15:59

fedoix
Membre
Inscription : 26/07/2010
Messages : 128
Site Web

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

jb1 a écrit :

trés bonne question,
ssh est non sélecté sur les 2 interfaces enp7s0 et enp8s0

Je n'ai rien compris.
....Si tu es interfacé directement avec une adresse IP Publique, il va falloir passer par l'étape sécurisation du serveur ....... Grande question .....


Great ! We have snakes under crack !

Hors ligne

#15 01/10/2018 18:37:33

jb1
Membre
Inscription : 01/08/2005
Messages : 298

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

jocker!
si je fais 192.168.1.1 @ de la LB
je me fais jeter,
peut-être que je passe par enp8s0-10.0.0.30
enp7s0 a pour valeur 192..168.1.30
je n'ai pas regardé avec wireshark
demain matin je m'y attelle
bonne soirée

avant dans sysctl.conf il y avait ip forward à 1
une culture à compléter
mon route  -n ne me plait pas

root@alpha30 ~]# route -n
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    100    0        0 enp7s0
0.0.0.0         192.168.1.1     0.0.0.0         UG    101    0        0 enp8s0
10.0.0.0        0.0.0.0         255.0.0.0       U     101    0        0 enp8s0
192.168.1.0     0.0.0.0         255.255.255.0   U     100    0        0 enp7s0
192.168.1.1     0.0.0.0         255.255.255.255 UH    101    0        0 enp8s0
[root@alpha30 ~]

pour info 10.0.0.30 va bien sur le wan, 2 machines linux sur un hub

Hors ligne

#16 01/10/2018 19:04:18

fedoix
Membre
Inscription : 26/07/2010
Messages : 128
Site Web

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

jb1 a écrit :

jocker!


pour info 10.0.0.30 va bien sur le wan, 2 machines linux sur un hub

Un hub ???
Les hubs fonctionnent en half-duplex ...
Mieux vaut un switch (full duplex) .....

Dernière modification par fedoix (01/10/2018 21:54:43)


Great ! We have snakes under crack !

Hors ligne

#17 02/10/2018 08:16:02

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

quoi??

Il est derrière sa LiveBox (LB je suppose), donc derrière du NAT. Pas grand chose à faire. Tant que tu t'amuses pas à faire de la redirection de ports depuis ton routeur, ton PC n'a pas d'IP publique, il ne craint donc pas grand chose.

Si tu veux savoir par quelle interface tu passes pour joindre une IP:

ip route get 192.168.1.1

(ip r get IP pour les fainéants)

ps: pour info les commandes ifconfig et route par ex sont considérées "obsolètes"


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#18 02/10/2018 09:07:53

jb1
Membre
Inscription : 01/08/2005
Messages : 298

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

bonjour,
je passe bien par 10.0.0.30

[root@alpha30 ~]# ip route get 192.168.1.1
192.168.1.1 dev enp8s0 src 10.0.0.30 uid 0 
    cache 
[root@alpha30 ~]# 

je boote sur une cliente 10.0.0.X pour voir

Hors ligne

#19 02/10/2018 09:29:57

jb1
Membre
Inscription : 01/08/2005
Messages : 298

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

sur l'autre machine "adresse introuvable"
resultat  nmcli:

    cache 
[root@alpha30 ~]# nmcli
enp7s0: connecté to enp7s0
        "Realtek RTL8111/8168/8411"
        ethernet (r8169), 1C:6F:65:3D:35:16, hw, mtu 1500
        ip4 default, ip6 default
        inet4 192.168.1.30/24
        route4 192.168.1.0/24
        route4 0.0.0.0/0
        inet6 2a01:cb0c:837e:fb00:85:23ec:8619:a4d5/64
        inet6 fe80::c51e:ed12:db89:7a1f/64
        route6 fe80::/64
        route6 2a01:cb0c:837e:fb00::/64
        route6 ::/0
        route6 ff00::/8

enp8s0: connecté to enp8s0
        "Realtek RTL8169"
        ethernet (r8169), 00:0C:76:AE:B5:56, hw, mtu 1500
        inet4 10.0.0.30/8
        route4 10.0.0.0/8
        route4 192.168.1.1/32
        route4 0.0.0.0/0        route4 192.168.1.1/32
        inet6 fe80::a0e0:e904:1615:c949/64
        route6 fe80::/64
        route6 ff00::/8

lo: non-géré
        "lo"
        loopback (unknown), 00:00:00:00:00:00, sw, mtu 65536

DNS configuration:
        servers: 8.8.2.2
        domains: orange.fr
        interface: enp7s0

        servers: fe80::4a83:c7ff:fe0c:e4ae
        domains: home
        interface: enp7s0

        servers: 8.8.2.2
        domains: orange.fr
        interface: enp8s0

Utilisez « nmcli device show » pour obtenir des informations complètes sur les périphériques connus et « nmcli connection show » pour obtenir une vue d'ensemble des profils de connexions actifs.

Consultez les pages de manuel nmcli(1) et nmcli-examples(5) pour les détails complets d'utilisation.
[root@alpha30 ~]# 

à priori dans enp7s0 il manquerait         route4 192.168.1.1/32

Hors ligne

#20 02/10/2018 10:04:25

jb1
Membre
Inscription : 01/08/2005
Messages : 298

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

fedoix bonjour,
c'est bien un switch  netgear 24 ports non manageable

Hors ligne

#21 02/10/2018 10:16:57

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

Oui les hubs half-duplex ont été éradiqués depuis de très nombreuses années.

0.0.0.0         192.168.1.1     0.0.0.0         UG    100    0        0 enp7s0
0.0.0.0         192.168.1.1     0.0.0.0         UG    101    0        0 enp8s0

Tu n'aurais pas branché 2 cartes sur le même réseaux ? car c'est ce que semble indiquer ta table de routage...


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#22 02/10/2018 11:44:16

jb1
Membre
Inscription : 01/08/2005
Messages : 298

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

enp7s0 vers LB,
enp8s0 vers Netgear pour les clients en 10.0.0.0/8, autres Linux

Hors ligne

#23 02/10/2018 11:57:39

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

Que donne:

/sbin/ip a

?


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#24 02/10/2018 13:54:39

jb1
Membre
Inscription : 01/08/2005
Messages : 298

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

root@alpha30 grub2]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 1c:6f:65:3d:35:16 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.30/24 brd 192.168.1.255 scope global noprefixroute enp7s0
       valid_lft forever preferred_lft forever
    inet6 2a01:cb0c:837e:fb00:85:23ec:8619:a4d5/64 scope global dynamic noprefixroute 
       valid_lft 1759sec preferred_lft 559sec
    inet6 fe80::c51e:ed12:db89:7a1f/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
3: enp8s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:0c:76:ae:b5:56 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.30/8 brd 10.255.255.255 scope global noprefixroute enp8s0
       valid_lft forever preferred_lft forever
    inet6 fe80::a0e0:e904:1615:c949/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
[root@alpha30 grub2]# 

Hors ligne

#25 02/10/2018 14:00:45

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

Tu sais pourquoi nmcli pour enp8s0 il indique une route supplémentaire route4 192.168.1.1/32 ?


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

Pied de page des forums