Evolutions du Serveur simple MySecureShell

Gillaume · Le 09/11/2005, à 14:51

2 serveurs Arvin, un vsftp et un ssh.

nerdman · Le 10/11/2005, à 12:40

Bonjour,

Sur le site de MySecureShell, je suis en train de vous préparer un petit topic pour bloquer ce type d'intrusions. La solution se trouve dans la faq.

Bonne chance à tous

Gillaume · Le 10/11/2005, à 13:29

salut Nerdman,
donne le liens dès que c'est prêt !!!
gui

arvin · Le 10/11/2005, à 13:37

Ca c'est une bonne nouvelle
La solution sera à l'adresse http://mysecureshell.sourceforge.net/fr/frame.html, dans la rubrique FAQ

arvin · Le 10/11/2005, à 18:22

C'est mis en ligne Gillaume

Q6: Peut on bloquer des intrusions après un certain nombre de tentatives ?
Le logiciel MySecureShell ne gére pas ceci, cependant nous allons voir comment bloquer avec un module d'authentification ou bien avec un firewall.
Le module d'authentification:
Il est possible de bloquer ces intrusions à l'aide du module d'authentification appellé "pam_tally". Pour savoir si vous le possédez tapez la commande "locate pam_tally" :
locate pam_tally
/lib/security/pam_tally.so
/usr/sbin/pam_tally
Il existe des systèmes ou il ne sera pas installé par défault et même sur Mac par exemple ou il n'existe pas du tout. En effet le portage de pam_tally sur certain systèmes est assez fastidieux, c'est pourquoi il n'existe pas.
Suivant les distributions, les fichiers peuvent avoir un autre nom. Voilà les fichiers que vous aurez probablement à modifier :
- Dans le fichier /etc/pam.d/common-account, il faut rajoute la ligne :
account required pam_tally.so magic_root
ou bien
- Dans le fichier /etc/pam.d/common-auth, il faut rajouter la ligne :
auth required pam_tally.so deny=3 magic_root lock_time=5 unlock_time=3600 per_user
- deny=3 : bloque le compte a partir de 3 identifations échoées.
- magic_root : permet a root de faire un "su" sur l'utilisateur même si le compte est "banni".
- lock_time=5 : attendre 5 secondes entre chaque tentatives d'authentification.
- unlock_time=3600 : permet de réactiver le compte au bout de 3600 secondes.
Pour afficher les utilisateurs blacklistés, tapez "faillog -a".
faillog -a
invite
Maintenant, pour supprimer cette personne du blacklistage, faites "faillog -r -u username".
faillog -r -u invite

Dernière modification par arvin (Le 19/11/2005, à 00:39)

Uggy · Le 10/11/2005, à 22:02

Q6:
- deny=3 : bloque le compte a partir de 3 identifations échoées.

oullaaaa.... ca veut dire quoi "bloquer le compte" ??? genre meme toi tu peux plus te logguer ????

Q6:
...configuration d'Iptables :
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set

oui mais çà c'est bien le probleme de Guillaume en Breezy... pas le module "recent"...

nerdman · Le 10/11/2005, à 22:26

Salut !

oullaaaa.... ca veut dire quoi "bloquer le compte" ??? genre meme toi tu peux plus te logguer ????

Effectivement meme toi ca peut te bloquer en meme temps si tu utilise le "keychain" par exemple tu peux pas te tromper :-p.

Ce qu'il faut si tu veux pas te tromper est faire un échange de clef avec ton serveur, comme ca tu n'a plus besoin d'entrer quoi que ce soit comme mot de passe. Regarde ce site, ca devrait t'intéresser:

http://www.tynsoe.org/spip/article40.html

oui mais çà c'est bien le probleme de Guillaume en Breezy... pas le module "recent"...

Sinon pour ça effectivement faudrait que je cherche mais je pense qu'avec un dernier noyau compilé et le bon module compilé également, il ne devrait pas y avoir de soucis. Je vous promet de m'y pencher dans quelques temps mais pour le moment, c'est surtout le site à finaliser et les éventuels problèmes à résoudre. :-)

J'espere qu'avec ca ca ira déjà mieux :-). A bientot

Uggy · Le 10/11/2005, à 23:06

nerdman a écrit :

Effectivement meme toi ca peut te bloquer en meme temps si tu utilise le "keychain" par exemple tu peux pas te tromper :-p.
Ce qu'il faut si tu veux pas te tromper est faire un échange de clef avec ton serveur, comme ca tu n'a plus besoin d'entrer quoi que ce soit comme mot de passe.

Je ne parle pas de me tromper "moi"... je parle d'autre chose.. :
Qu'un mec essaye 3 mots de passe sur le compte toto... et paf.. moi j'arrive 5 minutes apres, je veux me loguer en toto, je met mon bon mot de passe.. et la il me jetterais quand meme ?

Par contre sinon, la solution pourrais etre de n'accepter d'ouvir le ssh que par clé... pas par mot de passe.. dans ce cas plus de problemes... les scan en bruteForce ne risqant pas de passer, plus besoin d'essayer de les bloquer...

arvin · Le 10/11/2005, à 23:13

Pour bloquer le compte pendant 1h après 4 tentatives incorrectes; attendre 5s en chaque tentatives:

auth		required	pam_tally.so deny=4 magic_root per_user lock_time=5 unlock_time=3600

Dernière modification par arvin (Le 10/11/2005, à 23:15)

Uggy · Le 10/11/2005, à 23:26

oui mais avec pam_tally.so, si je fais 4 tentatives sur ton serveur avec ton login arvin...
et que toi tu essayes de te connecter avec ton login arvin, 5minutes apres... a priori, tu ne pourras pas te logguer... ???
..Ce qui est quand meme tres embetant...

arvin · Le 10/11/2005, à 23:37

Oui c'est embetant comme tu dis .

On peux toujours ajouter dans le fishier /etc/ssh/sshd_config

# maximum number of concurrent unauthenticated connections
MaxStartups 5

Important parameter to notice is MaxStartups which is limiting max number of concurrent unauthenticated connections, therefore attacker won't be able to run more than 5 parallel sessions against your server

Uggy · Le 10/11/2005, à 23:46

euhh oui..on peux ajouter..mais ça ne change trop le problème

arvin · Le 11/11/2005, à 21:55

Il n'y a plus qu'a reporter le bug pour Breezy si je comprend bien.
Est ce que quelqu'un l'a déjà fait à ce sujet?

arvin · Le 12/11/2005, à 00:32

~$ cat /boot/config-2.6.12-9-386 |grep -i recent
CONFIG_IP_NF_MATCH_RECENT=m

Faut il faire sudo modprobe ipt_recent pour activer le module?

Isaric · Le 12/11/2005, à 18:49

nerdman a écrit :

C'est le module PAM qui va gérer l'authentification.
... Il existe pam_tally d'ailleur

C'est quoi pam_tally ?

nerdman a écrit :

MySecureShell 0.7 vient de sortir

Je regarde http://mysecureshell.sourceforge.net/fr/frame.html
Comment lancer l'outil graphique avec

sudo java -jar sftp-mss.jar

J'ai d'installé pour java dans synaptic :

* j2re1.4
   * j2re1.4-mozilla-plugin
   * java-common
   * java-gcj-compat

Faut-il autre chose ?

arvin · Le 13/11/2005, à 11:53

Il faut télécharger MySecureShell Graphical Tools à l'adresse ci-dessous:

http://prdownloads.sourceforge.net/myse … p?download

Seul java-j2re 1.5 est à installer avec les dépots PLF.

## FTP mirror from http://free.fr (french ISP)
deb ftp://ftp.free.fr/pub/Distributions_Linux/plf/ubuntu/plf/ breezy free non-free
deb-src ftp://ftp.free.fr/pub/Distributions_Linux/plf/ubuntu/plf/ breezy free non-free

Lancer l'outil graphique:

$ unzip MSS_Frontend_v1.3.zip
$ cd répertoire d'extraction
$ sudo java -jar sftp-mss.jar

et vous obtiendrez,

Dernière modification par arvin (Le 22/11/2005, à 23:30)

Isaric · Le 13/11/2005, à 21:23

Merci arvin cela marche maintenant.

j'ai supprimé
*j2re1.4
* j2re1.4-mozilla-plugin
* java-common
* java-gcj-compat

Pour installer

* sun-j2re1.5

Mozilla-plugin est-il intégré à sun-j2re1.5 ?

nerdman a écrit :

C'est le module PAM qui va gérer l'authentification.
... Il existe pam_tally d'ailleur

C'est quoi pam_tally ?

Uggy · Le 14/11/2005, à 02:10

arvin a écrit :

~$ cat /boot/config-2.6.12-9-386 |grep -i recent
CONFIG_IP_NF_MATCH_RECENT=m
Faut il faire sudo modprobe ipt_recent pour activer le module?

Ca m'a l'air pas mal du tout ça...
Gillaume ??

arvin · Le 14/11/2005, à 08:22

Isaric a écrit :

Mozilla-plugin est-il intégré à sun-j2re1.5 ?

Tentes la Discussion IRC à partir du site http://www.ubuntu-fr.org/ pour voir si sun-j2re1.5 fontionne avec Firefox.

Isaric,
que veux tu savoir de plus sur pam_tally?

Gillaume · Le 14/11/2005, à 11:18

Uggy a écrit :

arvin a écrit :
~$ cat /boot/config-2.6.12-9-386 |grep -i recent
CONFIG_IP_NF_MATCH_RECENT=m
Faut il faire sudo modprobe ipt_recent pour activer le module?
Ca m'a l'air pas mal du tout ça...
Gillaume ??

OOooh Uggy, Arvin !
Comment ça va ??
je suis la discussion de très prêt !!!
j'étais en week end ....

cat /boot/config-2.6.12-9-386 |grep -i recent
CONFIG_IP_NF_MATCH_RECENT=m

cela te permet de savoir si le module "recent" est présent ???

un petit

sudo modprobe ipt_recent
et le tour est joué ??

expliquez moi les gars !!
merci d'avance
gui

Isaric · Le 14/11/2005, à 11:54

Isaric a écrit :

Mozilla-plugin est-il intégré à sun-j2re1.5 ?

J'ai fait un essais de test JVM http://java.com/en/download/help/testvm.xml
Le "bonhomme" bouge, alors cela marche !

arvin a écrit :

Tentes la Discussion IRC à partir du site

http://www.ubuntu-fr.org/chat/
Je ne sais pas comment m'inscrire !

arvin a écrit :

Isaric,
que veux tu savoir de plus sur pam_tally?

modprobe ipt_recent...
cat /boot/config-2.6.12-9-386 |grep -i recent
CONFIG_IP_NF_MATCH_RECENT=m

Est-ce une sécurité supplémentaire pour MySecureShell ? C'est quoi ? Que faut-il configurer ?
Je comprends rien !

Gillaume · Le 14/11/2005, à 13:17

je suis pas seul à pas trop comprendre !

A++

arvin · Le 14/11/2005, à 13:29

Pour savoir si le module recent a été compiler avec le kernel de Breezy:

$ cat /boot/config-2.6.12-9-386 |grep -i recent
CONFIG_IP_NF_MATCH_RECENT=m

"m" signifie module et donc que le module existe

Je ne sais pas si recent ce charge au boot, alors pour le lancer, la commande est:

sudo modprobe ipt_recent

A essayer

Gillaume · Le 14/11/2005, à 13:39

et là, tout s'éclaire !!
je teste ça ce soir chez moi !
merci bcp..
gui

arvin · Le 14/11/2005, à 14:04

Isaric, je te conseille de regarder les questions Q6 et Q7 du F.A.Q de Mysecureshell à l'adresse http://mysecureshell.sourceforge.net/fr/faq.html
Nerdman refait son site et suit de près nos discussions sur ce post .

Tu n'as pas besoin de t'inscrire pour discuter en IRC sur le site d'ubuntu.fr. Choisi le pseudo que tu veux. Tu devrais pouvoir chater si sun-j2re1.5 fonctionne avec firefox/mozilla.

Dernière modification par arvin (Le 14/11/2005, à 14:06)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#51 Le 09/11/2005, à 14:51

Re : Evolutions du Serveur simple MySecureShell

#52 Le 10/11/2005, à 12:40

Re : Evolutions du Serveur simple MySecureShell

#53 Le 10/11/2005, à 13:29

Re : Evolutions du Serveur simple MySecureShell

#54 Le 10/11/2005, à 13:37

Re : Evolutions du Serveur simple MySecureShell

#55 Le 10/11/2005, à 18:22

Re : Evolutions du Serveur simple MySecureShell

#56 Le 10/11/2005, à 22:02

Re : Evolutions du Serveur simple MySecureShell

#57 Le 10/11/2005, à 22:26

Re : Evolutions du Serveur simple MySecureShell

#58 Le 10/11/2005, à 23:06

Re : Evolutions du Serveur simple MySecureShell

#59 Le 10/11/2005, à 23:13

Re : Evolutions du Serveur simple MySecureShell

#60 Le 10/11/2005, à 23:26

Re : Evolutions du Serveur simple MySecureShell

#61 Le 10/11/2005, à 23:37

Re : Evolutions du Serveur simple MySecureShell

#62 Le 10/11/2005, à 23:46

Re : Evolutions du Serveur simple MySecureShell

#63 Le 11/11/2005, à 21:55

Re : Evolutions du Serveur simple MySecureShell

#64 Le 12/11/2005, à 00:32

Re : Evolutions du Serveur simple MySecureShell

#65 Le 12/11/2005, à 18:49

Re : Evolutions du Serveur simple MySecureShell

#66 Le 13/11/2005, à 11:53

Re : Evolutions du Serveur simple MySecureShell

#67 Le 13/11/2005, à 21:23

Re : Evolutions du Serveur simple MySecureShell

#68 Le 14/11/2005, à 02:10

Re : Evolutions du Serveur simple MySecureShell

#69 Le 14/11/2005, à 08:22

Re : Evolutions du Serveur simple MySecureShell

#70 Le 14/11/2005, à 11:18

Re : Evolutions du Serveur simple MySecureShell

#71 Le 14/11/2005, à 11:54

Re : Evolutions du Serveur simple MySecureShell

#72 Le 14/11/2005, à 13:17

Re : Evolutions du Serveur simple MySecureShell

#73 Le 14/11/2005, à 13:29

Re : Evolutions du Serveur simple MySecureShell

#74 Le 14/11/2005, à 13:39

Re : Evolutions du Serveur simple MySecureShell

#75 Le 14/11/2005, à 14:04

Re : Evolutions du Serveur simple MySecureShell

Pied de page des forums