[Résolu] maximum attaque autoriser par une @IP Chinoise

jb1 · 01/10/2018 10:03:04

Bonjour,
c'est regulier,
j'ai des tentatives frauduleuse de connexion ssh

09:51
error: maximum authentication attempts exceeded for root from 42.7.27.165 port 44840 ssh2 [preauth] sshd
09:51
error: maximum authentication attempts exceeded for root from 42.7.27.165 port 59952 ssh2 [preauth] sshd
09:50
error: maximum authentication attempts exceeded for root from 42.7.27.165 port 2690 ssh2 [preauth] sshd

le parefeu est solide?

j'ai 2 plages @IP à rejetter, dans le parefeu je fais comment SVP?

VINDICATORs · 01/10/2018 10:57:05

Perso j'ai changé le port de ssh, puis installé Fail2ban qui vas les bannir au bout de 3 tentatives.

Voir la doc Fail2ban, c'est complémentaire au pare feu.

Si tu change le port, il faut penser à modifier la règle ssh dans le pare feu, ainsi que de le déclarer à selinux si tu l'utilise.

Depuis plus de souci avec les espions chinoix du FBI, le KGB et autres poutinerie du genre...

penthium2 · 01/10/2018 10:59:56

il y a aussi portsentry qui est un bon complément a fail2ban :D

madko · 01/10/2018 11:10:46

Bienvenue sur Internet. Rien que changer le port SSH par défaut resoudra ce genre de soucis. Attention il faut aussi autoriser SELinux pour SSH sur le nouveau port ! https://www.linuxed.net/post/2018/01/06 … aut-de-SSH

Refuznik · 01/10/2018 11:15:20

Oui le parefeu est solide mais ça n'a rien à voir avec.
Utilise tu une connexion ssh sur ton ordi ?
Sinon tu peux utiliser iptables pour bannir les adresses ip https://doc.fedora-fr.org/wiki/Parefeu_ … -_iptables

@Madko : changer le port est une fausse protection, ça fait plus de quinze ans que les attaquant utilisent des scans de port.

Dernière modification par Refuznik (01/10/2018 11:21:19)

jb1 · 01/10/2018 11:24:47

bonjour,
j'avais un peu anticipé :
-enlever ssh du FW
-invalider sur ........:9090 ssh

à priori plus de log (:9090)
merci à vous tous,
bonne jouurnée

madko · 01/10/2018 11:28:37

@Refuznik c'est pas ce qu'on constate sur nos serveurs. J'aurais du préciser d'utiliser un port élevé genre 10022, ou 2200. Les bots scannent des plages d'IP conséquentes, ils ont pas le temps de scanner tous les ports par IP ! Après le top c'est d'ajouter un port knocking. Mais vraiment, juste changer le port on passe de plusieurs milliers de tentatives par jour, à 0 en mettant un port élevé. Pas mal non ?

penthium2 · 01/10/2018 11:45:30

et d'ou l’intérêt de portsentry qui bloque les scans de port :D

jb1 · 01/10/2018 11:46:59

OK madko

Refuznik · 01/10/2018 12:14:53

Je n'ai suis jamais monté à 10022 comme toi. mais quant j'avais des serveurs en prod. même en changeant le port ça ne changeais rien au problème. Bon à ma décharge les serveurs était chez ovh et on se faisait scanner/attaquer toutes les semaines même par des serveurs aussi chez ovh. Donc j'ai installé fail2ban et ça à résolus les problèmes.

Dernière modification par Refuznik (01/10/2018 12:15:46)

jb1 · 01/10/2018 14:29:17

fail2ban, installé, actif valider

on va voir!

pour prendre en compte mariadb/phpmyadmin
il y a un exemple pour le port 3306

fedoix · 01/10/2018 17:49:29

Ton serveur ssh est directement interfacé dans le WAN ? ou derrière un LAN ??

jb1 · 01/10/2018 17:58:31

trés bonne question,
sur le pare-feu graphique:
ssh est non sélecté sur les 2 interfaces enp7s0 et enp8s0

je maitrise mal le pare-feu

fedoix · 01/10/2018 18:15:59

jb1 a écrit :

trés bonne question,
ssh est non sélecté sur les 2 interfaces enp7s0 et enp8s0

Je n'ai rien compris.
....Si tu es interfacé directement avec une adresse IP Publique, il va falloir passer par l'étape sécurisation du serveur ....... Grande question .....

jb1 · 01/10/2018 18:37:33

jocker!
si je fais 192.168.1.1 @ de la LB
je me fais jeter,
peut-être que je passe par enp8s0-10.0.0.30
enp7s0 a pour valeur 192..168.1.30
je n'ai pas regardé avec wireshark
demain matin je m'y attelle
bonne soirée

avant dans sysctl.conf il y avait ip forward à 1
une culture à compléter
mon route -n ne me plait pas

root@alpha30 ~]# route -n
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    100    0        0 enp7s0
0.0.0.0         192.168.1.1     0.0.0.0         UG    101    0        0 enp8s0
10.0.0.0        0.0.0.0         255.0.0.0       U     101    0        0 enp8s0
192.168.1.0     0.0.0.0         255.255.255.0   U     100    0        0 enp7s0
192.168.1.1     0.0.0.0         255.255.255.255 UH    101    0        0 enp8s0
[root@alpha30 ~]

pour info 10.0.0.30 va bien sur le wan, 2 machines linux sur un hub

fedoix · 01/10/2018 19:04:18

jb1 a écrit :

jocker!

pour info 10.0.0.30 va bien sur le wan, 2 machines linux sur un hub

Un hub ???
Les hubs fonctionnent en half-duplex ...
Mieux vaut un switch (full duplex) .....

Dernière modification par fedoix (01/10/2018 21:54:43)

madko · 02/10/2018 08:16:02

quoi??

Il est derrière sa LiveBox (LB je suppose), donc derrière du NAT. Pas grand chose à faire. Tant que tu t'amuses pas à faire de la redirection de ports depuis ton routeur, ton PC n'a pas d'IP publique, il ne craint donc pas grand chose.

Si tu veux savoir par quelle interface tu passes pour joindre une IP:

ip route get 192.168.1.1

(ip r get IP pour les fainéants)

ps: pour info les commandes ifconfig et route par ex sont considérées "obsolètes"

jb1 · 02/10/2018 09:07:53

bonjour,
je passe bien par 10.0.0.30

[root@alpha30 ~]# ip route get 192.168.1.1
192.168.1.1 dev enp8s0 src 10.0.0.30 uid 0 
    cache 
[root@alpha30 ~]#

je boote sur une cliente 10.0.0.X pour voir

jb1 · 02/10/2018 09:29:57

sur l'autre machine "adresse introuvable"
resultat nmcli:

    cache 
[root@alpha30 ~]# nmcli
enp7s0: connecté to enp7s0
        "Realtek RTL8111/8168/8411"
        ethernet (r8169), 1C:6F:65:3D:35:16, hw, mtu 1500
        ip4 default, ip6 default
        inet4 192.168.1.30/24
        route4 192.168.1.0/24
        route4 0.0.0.0/0
        inet6 2a01:cb0c:837e:fb00:85:23ec:8619:a4d5/64
        inet6 fe80::c51e:ed12:db89:7a1f/64
        route6 fe80::/64
        route6 2a01:cb0c:837e:fb00::/64
        route6 ::/0
        route6 ff00::/8

enp8s0: connecté to enp8s0
        "Realtek RTL8169"
        ethernet (r8169), 00:0C:76:AE:B5:56, hw, mtu 1500
        inet4 10.0.0.30/8
        route4 10.0.0.0/8
        route4 192.168.1.1/32
        route4 0.0.0.0/0        route4 192.168.1.1/32
        inet6 fe80::a0e0:e904:1615:c949/64
        route6 fe80::/64
        route6 ff00::/8

lo: non-géré
        "lo"
        loopback (unknown), 00:00:00:00:00:00, sw, mtu 65536

DNS configuration:
        servers: 8.8.2.2
        domains: orange.fr
        interface: enp7s0

        servers: fe80::4a83:c7ff:fe0c:e4ae
        domains: home
        interface: enp7s0

        servers: 8.8.2.2
        domains: orange.fr
        interface: enp8s0

Utilisez « nmcli device show » pour obtenir des informations complètes sur les périphériques connus et « nmcli connection show » pour obtenir une vue d'ensemble des profils de connexions actifs.

Consultez les pages de manuel nmcli(1) et nmcli-examples(5) pour les détails complets d'utilisation.
[root@alpha30 ~]#

à priori dans enp7s0 il manquerait route4 192.168.1.1/32

jb1 · 02/10/2018 10:04:25

fedoix bonjour,
c'est bien un switch netgear 24 ports non manageable

madko · 02/10/2018 10:16:57

Oui les hubs half-duplex ont été éradiqués depuis de très nombreuses années.

0.0.0.0         192.168.1.1     0.0.0.0         UG    100    0        0 enp7s0
0.0.0.0         192.168.1.1     0.0.0.0         UG    101    0        0 enp8s0

Tu n'aurais pas branché 2 cartes sur le même réseaux ? car c'est ce que semble indiquer ta table de routage...

jb1 · 02/10/2018 11:44:16

enp7s0 vers LB,
enp8s0 vers Netgear pour les clients en 10.0.0.0/8, autres Linux

madko · 02/10/2018 11:57:39

Que donne:

/sbin/ip a

?

jb1 · 02/10/2018 13:54:39

root@alpha30 grub2]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 1c:6f:65:3d:35:16 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.30/24 brd 192.168.1.255 scope global noprefixroute enp7s0
       valid_lft forever preferred_lft forever
    inet6 2a01:cb0c:837e:fb00:85:23ec:8619:a4d5/64 scope global dynamic noprefixroute 
       valid_lft 1759sec preferred_lft 559sec
    inet6 fe80::c51e:ed12:db89:7a1f/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
3: enp8s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:0c:76:ae:b5:56 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.30/8 brd 10.255.255.255 scope global noprefixroute enp8s0
       valid_lft forever preferred_lft forever
    inet6 fe80::a0e0:e904:1615:c949/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
[root@alpha30 grub2]#

madko · 02/10/2018 14:00:45

Tu sais pourquoi nmcli pour enp8s0 il indique une route supplémentaire route4 192.168.1.1/32 ?

Fedora-Fr - Communauté francophone Fedora - Linux

#1 01/10/2018 10:03:04

[Résolu] maximum attaque autoriser par une @IP Chinoise

#2 01/10/2018 10:57:05

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#3 01/10/2018 10:59:56

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#4 01/10/2018 11:10:46

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#5 01/10/2018 11:15:20

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#6 01/10/2018 11:24:47

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#7 01/10/2018 11:28:37

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#8 01/10/2018 11:45:30

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#9 01/10/2018 11:46:59

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#10 01/10/2018 12:14:53

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#11 01/10/2018 14:29:17

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#12 01/10/2018 17:49:29

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#13 01/10/2018 17:58:31

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#14 01/10/2018 18:15:59

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#15 01/10/2018 18:37:33

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#16 01/10/2018 19:04:18

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#17 02/10/2018 08:16:02

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#18 02/10/2018 09:07:53

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#19 02/10/2018 09:29:57

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#20 02/10/2018 10:04:25

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#21 02/10/2018 10:16:57

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#22 02/10/2018 11:44:16

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#23 02/10/2018 11:57:39

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#24 02/10/2018 13:54:39

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

#25 02/10/2018 14:00:45

Re : [Résolu] maximum attaque autoriser par une @IP Chinoise

Pied de page des forums