Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : [Appel à participation] Paris Open Source Summit 2018

#1 11/04/2018 17:06:16

Kanuni
Membre
Inscription : 17/07/2017
Messages : 26

Un paquet de sécurité

Bonjour et bienvenue.

Bien que j'utilise Fedora depuis longtemps, j'ai découvert un fichier de sécurité il y a quelques mois.
Contre des attaquants à distance qui essaient de deviner les mots de passe.
C'est un plus pour nos machines c'est pourquoi
J'ai pensé à le partager même si certains peuvent connaître ce paquet.
Dernière modification: ce paquet peut être télécharger par d'autres distributions, je corrige.

[ pour la version X86_64 ]

# dnf install pam_shield.x86_64

Le paquet s'installera automatiquement dans:
/etc/security/
Il sera nommé en shield.conf.
Voici une partie de la composition de ce fichier:

#
#    /etc/security/shield.conf
#

#
#    log debugging info to syslog
#
debug off

#
#    block all-users        blocks only unknown users
#    block all-users            blocks everyone
#
block all-users

#
#    is it OK for the remote host to have no DNS entry?
#
allow_missing_dns yes

#
#    is it OK for the remote host to have no reverse DNS entry?
#
allow_missing_reverse yes

#
#    allow these hosts or networks by name
#
allow localhost

etc ....
etc ...

Dernière modification par Kanuni (11/04/2018 18:26:23)

Hors ligne

#2 11/04/2018 17:30:01

Nicosss
Membre
Lieu : Isère
Inscription : 05/03/2007
Messages : 4 031
Site Web

Re : Un paquet de sécurité


F29_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5570 Fanless - 8Go RAM /&/ F28_64 Gnome-Shell - GA-M55S-S3 - Athlon 64 X2 4200+ - GeminII - Ati HD5750 Fanless - 3Go RAM
F28_32 - 939A785GMH/128M - Athlon 64 4000+ - 2Go RAM /&/ F28_32 Gnome-Shell - EeePC 701 - 2Go RAM

Hors ligne

#3 11/04/2018 17:52:30

Kanuni
Membre
Inscription : 17/07/2017
Messages : 26

Re : Un paquet de sécurité

Traduction:

pam_shield est un module PAM qui utilise null-routing ou iptables pour verrouiller les script kiddies qui sondent votre ordinateur à la recherche de logins ouverts et/ou de mots de passe faciles à deviner. pam_shield est destiné à protéger les ordinateurs publics sur Internet.

Tout le monde sait qu'il n'est pas sage de laisser des ordinateurs en grande partie non protégés connectés à Internet. Toutefois, dans certains cas, cette pratique est encore courante.
Par exemple, les sites académiques avec des centaines d'utilisateurs ont souvent une politique d'autoriser les connexions du monde entier. Ils sont constamment attaqués par des pirates qui tentent de pénétrer dans le système en devinant les mots de passe. pam_shield vise à détecter et bloquer ces crackers.

pam_shield a été développé par Walter de Jong de 2007 à 2011.
pam_shield est aujourd'hui un projet github maintenu par Jonathan Niehof.

Dernière modification par Kanuni (11/04/2018 17:58:16)

Hors ligne

#4 11/04/2018 18:22:32

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 6 177
Site Web

Re : Un paquet de sécurité

Une sorte de fail2ban intégré à PAM. Merci pour l'info


Linux, ya moins bien, mais c'est plus chèr!!!
Ingénieur Systèmes&Réseaux dans l'OpenSource depuis + de 10 ans

Hors ligne

#5 11/04/2018 21:49:20

Heldwin
Charlie
Inscription : 07/10/2008
Messages : 4 079

Re : Un paquet de sécurité

ouaip, merci, je connaissais pas.

EDIT:
Il y a en tout cas une coquille dans les commentaires du fichier de conf, et il semble manquer le man shield.conf (qui est dispo sur le git)
Et cela fait 7 ans qu'il n'est plus maintenu (si on regarde la version et qu'il n'y a eu presque que des rebuilds dessus depuis)

man shield.conf a écrit :

.B block
[all-users|unknown-users]

#
#    block allunknown-users        blocks only unknown users
#    block all-users            blocks everyone
#
block all-users

jtniehof commented on Jun 2, 2017

As might be obvious, this package is currently unmaintained. There was some interest in taking over maintenance a year and a half ago but that party disappeared. If someone is interested in maintaining pam-shield, I am happy to point to their repo.

EDIT2:

En passant, que vient faire ce topic dans "A propos de fedora-fr" ? :)

Dernière modification par Heldwin (11/04/2018 22:49:03)


"The only way to achieve the impossible is to believe it’s possible"

Hors ligne

#6 12/04/2018 07:58:18

Nicosss
Membre
Lieu : Isère
Inscription : 05/03/2007
Messages : 4 031
Site Web

Re : Un paquet de sécurité

Effectivement j'avais vu la même coquille dans le premier post... puis en regardant plus en détail il ne semble plus maintenu.

Justement je regardai si l'utilisation d'une règle Fail2ban ne suffisait pas... pas contre c'est vrai que ça oblige à dépendre d'un service.


F29_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5570 Fanless - 8Go RAM /&/ F28_64 Gnome-Shell - GA-M55S-S3 - Athlon 64 X2 4200+ - GeminII - Ati HD5750 Fanless - 3Go RAM
F28_32 - 939A785GMH/128M - Athlon 64 4000+ - 2Go RAM /&/ F28_32 Gnome-Shell - EeePC 701 - 2Go RAM

Hors ligne

#7 12/04/2018 13:02:56

Kanuni
Membre
Inscription : 17/07/2017
Messages : 26

Re : Un paquet de sécurité

Dans le fichier de configuration shield.conf:
<<block all-users>> bloque tous le monde l'attaquant y compris sa propre machine multi-utilisateur.
Sinon tu peux choisir << blocks only unknown users >> et donc seulement pour les utilisateurs inconnus.

Personnellement j'ai choisis blocks only unknown user smile

Hors ligne

Pied de page des forums