#51 Le 09/11/2005, à 14:51
- Gillaume
Re : Evolutions du Serveur simple MySecureShell
2 serveurs Arvin, un vsftp et un ssh.
Guili Guili
Hors ligne
#52 Le 10/11/2005, à 12:40
- nerdman
Re : Evolutions du Serveur simple MySecureShell
Bonjour,
Sur le site de MySecureShell, je suis en train de vous préparer un petit topic pour bloquer ce type d'intrusions. La solution se trouve dans la faq.
Bonne chance à tous
Nerdman
MySecureShell Team
Hors ligne
#53 Le 10/11/2005, à 13:29
- Gillaume
Re : Evolutions du Serveur simple MySecureShell
salut Nerdman,
donne le liens dès que c'est prêt !!!
gui
Guili Guili
Hors ligne
#54 Le 10/11/2005, à 13:37
- arvin
Re : Evolutions du Serveur simple MySecureShell
Ca c'est une bonne nouvelle
La solution sera à l'adresse http://mysecureshell.sourceforge.net/fr/frame.html, dans la rubrique FAQ
Mon blog pour Linux: http://jujuseb.com
Hors ligne
#55 Le 10/11/2005, à 18:22
- arvin
Re : Evolutions du Serveur simple MySecureShell
C'est mis en ligne Gillaume
Q6: Peut on bloquer des intrusions après un certain nombre de tentatives ?
Le logiciel MySecureShell ne gére pas ceci, cependant nous allons voir comment bloquer avec un module d'authentification ou bien avec un firewall.
Le module d'authentification:
Il est possible de bloquer ces intrusions à l'aide du module d'authentification appellé "pam_tally". Pour savoir si vous le possédez tapez la commande "locate pam_tally" :
locate pam_tally
/lib/security/pam_tally.so
/usr/sbin/pam_tally
Il existe des systèmes ou il ne sera pas installé par défault et même sur Mac par exemple ou il n'existe pas du tout. En effet le portage de pam_tally sur certain systèmes est assez fastidieux, c'est pourquoi il n'existe pas.Suivant les distributions, les fichiers peuvent avoir un autre nom. Voilà les fichiers que vous aurez probablement à modifier :
- Dans le fichier /etc/pam.d/common-account, il faut rajoute la ligne :
account required pam_tally.so magic_root
ou bien
- Dans le fichier /etc/pam.d/common-auth, il faut rajouter la ligne :
auth required pam_tally.so deny=3 magic_root lock_time=5 unlock_time=3600 per_user
- deny=3 : bloque le compte a partir de 3 identifations échoées.
- magic_root : permet a root de faire un "su" sur l'utilisateur même si le compte est "banni".
- lock_time=5 : attendre 5 secondes entre chaque tentatives d'authentification.
- unlock_time=3600 : permet de réactiver le compte au bout de 3600 secondes.Pour afficher les utilisateurs blacklistés, tapez "faillog -a".
faillog -a
invite
Maintenant, pour supprimer cette personne du blacklistage, faites "faillog -r -u username".
faillog -r -u invite
Dernière modification par arvin (Le 19/11/2005, à 00:39)
Mon blog pour Linux: http://jujuseb.com
Hors ligne
#56 Le 10/11/2005, à 22:02
- Uggy
Re : Evolutions du Serveur simple MySecureShell
Q6:
- deny=3 : bloque le compte a partir de 3 identifations échoées.
oullaaaa.... ca veut dire quoi "bloquer le compte" ??? genre meme toi tu peux plus te logguer ????
Q6:
...configuration d'Iptables :
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
oui mais çà c'est bien le probleme de Guillaume en Breezy... pas le module "recent"...
Hors ligne
#57 Le 10/11/2005, à 22:26
- nerdman
Re : Evolutions du Serveur simple MySecureShell
Salut !
oullaaaa.... ca veut dire quoi "bloquer le compte" ??? genre meme toi tu peux plus te logguer ????
Effectivement meme toi ca peut te bloquer en meme temps si tu utilise le "keychain" par exemple tu peux pas te tromper :-p.
Ce qu'il faut si tu veux pas te tromper est faire un échange de clef avec ton serveur, comme ca tu n'a plus besoin d'entrer quoi que ce soit comme mot de passe. Regarde ce site, ca devrait t'intéresser:
http://www.tynsoe.org/spip/article40.html
oui mais çà c'est bien le probleme de Guillaume en Breezy... pas le module "recent"...
Sinon pour ça effectivement faudrait que je cherche mais je pense qu'avec un dernier noyau compilé et le bon module compilé également, il ne devrait pas y avoir de soucis. Je vous promet de m'y pencher dans quelques temps mais pour le moment, c'est surtout le site à finaliser et les éventuels problèmes à résoudre. :-)
J'espere qu'avec ca ca ira déjà mieux :-). A bientot
Nerdman
MySecureShell Team
Hors ligne
#58 Le 10/11/2005, à 23:06
- Uggy
Re : Evolutions du Serveur simple MySecureShell
Effectivement meme toi ca peut te bloquer en meme temps si tu utilise le "keychain" par exemple tu peux pas te tromper :-p.
Ce qu'il faut si tu veux pas te tromper est faire un échange de clef avec ton serveur, comme ca tu n'a plus besoin d'entrer quoi que ce soit comme mot de passe.
Je ne parle pas de me tromper "moi"... je parle d'autre chose.. :
Qu'un mec essaye 3 mots de passe sur le compte toto... et paf.. moi j'arrive 5 minutes apres, je veux me loguer en toto, je met mon bon mot de passe.. et la il me jetterais quand meme ?
Par contre sinon, la solution pourrais etre de n'accepter d'ouvir le ssh que par clé... pas par mot de passe.. dans ce cas plus de problemes... les scan en bruteForce ne risqant pas de passer, plus besoin d'essayer de les bloquer...
Hors ligne
#59 Le 10/11/2005, à 23:13
- arvin
Re : Evolutions du Serveur simple MySecureShell
Pour bloquer le compte pendant 1h après 4 tentatives incorrectes; attendre 5s en chaque tentatives:
auth required pam_tally.so deny=4 magic_root per_user lock_time=5 unlock_time=3600
Dernière modification par arvin (Le 10/11/2005, à 23:15)
Mon blog pour Linux: http://jujuseb.com
Hors ligne
#60 Le 10/11/2005, à 23:26
- Uggy
Re : Evolutions du Serveur simple MySecureShell
oui mais avec pam_tally.so, si je fais 4 tentatives sur ton serveur avec ton login arvin...
et que toi tu essayes de te connecter avec ton login arvin, 5minutes apres... a priori, tu ne pourras pas te logguer... ???
..Ce qui est quand meme tres embetant...
Hors ligne
#61 Le 10/11/2005, à 23:37
- arvin
Re : Evolutions du Serveur simple MySecureShell
Oui c'est embetant comme tu dis .
On peux toujours ajouter dans le fishier /etc/ssh/sshd_config
# maximum number of concurrent unauthenticated connections
MaxStartups 5
Important parameter to notice is MaxStartups which is limiting max number of concurrent unauthenticated connections, therefore attacker won't be able to run more than 5 parallel sessions against your server
Mon blog pour Linux: http://jujuseb.com
Hors ligne
#62 Le 10/11/2005, à 23:46
- Uggy
Re : Evolutions du Serveur simple MySecureShell
euhh oui..on peux ajouter..mais ça ne change trop le problème
Hors ligne
#63 Le 11/11/2005, à 21:55
- arvin
Re : Evolutions du Serveur simple MySecureShell
Il n'y a plus qu'a reporter le bug pour Breezy si je comprend bien.
Est ce que quelqu'un l'a déjà fait à ce sujet?
Mon blog pour Linux: http://jujuseb.com
Hors ligne
#64 Le 12/11/2005, à 00:32
- arvin
Re : Evolutions du Serveur simple MySecureShell
~$ cat /boot/config-2.6.12-9-386 |grep -i recent
CONFIG_IP_NF_MATCH_RECENT=m
Faut il faire sudo modprobe ipt_recent pour activer le module?
Mon blog pour Linux: http://jujuseb.com
Hors ligne
#65 Le 12/11/2005, à 18:49
- Isaric
Re : Evolutions du Serveur simple MySecureShell
C'est le module PAM qui va gérer l'authentification.
... Il existe pam_tally d'ailleur
C'est quoi pam_tally ?
MySecureShell 0.7 vient de sortir
Je regarde http://mysecureshell.sourceforge.net/fr/frame.html
Comment lancer l'outil graphique avec
sudo java -jar sftp-mss.jar
J'ai d'installé pour java dans synaptic :
* j2re1.4
* j2re1.4-mozilla-plugin
* java-common
* java-gcj-compat
Faut-il autre chose ?
"Être bahá'í signifie simplement aimer la terre toute entière, aimer l'humanité et essayer de la servir, travailler pour la paix universelle et la famille humaine" 'Abdul'l-Bahá
"Vouloir s'ouvrir aux autres n'est pas une preuve de faiblesse, c'est une preuve d'intelligence" Matthieu Ricard.
Hors ligne
#66 Le 13/11/2005, à 11:53
- arvin
Re : Evolutions du Serveur simple MySecureShell
Il faut télécharger MySecureShell Graphical Tools à l'adresse ci-dessous:
http://prdownloads.sourceforge.net/myse … p?download
Seul java-j2re 1.5 est à installer avec les dépots PLF.
## FTP mirror from http://free.fr (french ISP)
deb ftp://ftp.free.fr/pub/Distributions_Linux/plf/ubuntu/plf/ breezy free non-free
deb-src ftp://ftp.free.fr/pub/Distributions_Linux/plf/ubuntu/plf/ breezy free non-free
Lancer l'outil graphique:
$ unzip MSS_Frontend_v1.3.zip
$ cd répertoire d'extraction
$ sudo java -jar sftp-mss.jar
et vous obtiendrez,
Dernière modification par arvin (Le 22/11/2005, à 23:30)
Mon blog pour Linux: http://jujuseb.com
Hors ligne
#67 Le 13/11/2005, à 21:23
- Isaric
Re : Evolutions du Serveur simple MySecureShell
Merci arvin cela marche maintenant.
j'ai supprimé
*j2re1.4
* j2re1.4-mozilla-plugin
* java-common
* java-gcj-compat
Pour installer
* sun-j2re1.5
Mozilla-plugin est-il intégré à sun-j2re1.5 ?
C'est le module PAM qui va gérer l'authentification.
... Il existe pam_tally d'ailleur
C'est quoi pam_tally ?
"Être bahá'í signifie simplement aimer la terre toute entière, aimer l'humanité et essayer de la servir, travailler pour la paix universelle et la famille humaine" 'Abdul'l-Bahá
"Vouloir s'ouvrir aux autres n'est pas une preuve de faiblesse, c'est une preuve d'intelligence" Matthieu Ricard.
Hors ligne
#68 Le 14/11/2005, à 02:10
- Uggy
Re : Evolutions du Serveur simple MySecureShell
~$ cat /boot/config-2.6.12-9-386 |grep -i recent CONFIG_IP_NF_MATCH_RECENT=m
Faut il faire sudo modprobe ipt_recent pour activer le module?
Ca m'a l'air pas mal du tout ça...
Gillaume ??
Hors ligne
#69 Le 14/11/2005, à 08:22
- arvin
Re : Evolutions du Serveur simple MySecureShell
Mozilla-plugin est-il intégré à sun-j2re1.5 ?
Tentes la Discussion IRC à partir du site http://www.ubuntu-fr.org/ pour voir si sun-j2re1.5 fontionne avec Firefox.
Isaric,
que veux tu savoir de plus sur pam_tally?
Mon blog pour Linux: http://jujuseb.com
Hors ligne
#70 Le 14/11/2005, à 11:18
- Gillaume
Re : Evolutions du Serveur simple MySecureShell
arvin a écrit :~$ cat /boot/config-2.6.12-9-386 |grep -i recent CONFIG_IP_NF_MATCH_RECENT=m
Faut il faire sudo modprobe ipt_recent pour activer le module?
Ca m'a l'air pas mal du tout ça...
Gillaume ??
OOooh Uggy, Arvin !
Comment ça va ??
je suis la discussion de très prêt !!!
j'étais en week end ....
cat /boot/config-2.6.12-9-386 |grep -i recent
CONFIG_IP_NF_MATCH_RECENT=m
cela te permet de savoir si le module "recent" est présent ???
un petit
sudo modprobe ipt_recent
et le tour est joué ??
expliquez moi les gars !!
merci d'avance
gui
Guili Guili
Hors ligne
#71 Le 14/11/2005, à 11:54
- Isaric
Re : Evolutions du Serveur simple MySecureShell
Mozilla-plugin est-il intégré à sun-j2re1.5 ?
J'ai fait un essais de test JVM http://java.com/en/download/help/testvm.xml
Le "bonhomme" bouge, alors cela marche !
Tentes la Discussion IRC à partir du site
http://www.ubuntu-fr.org/chat/
Je ne sais pas comment m'inscrire !
Isaric,
que veux tu savoir de plus sur pam_tally?
modprobe ipt_recent...
cat /boot/config-2.6.12-9-386 |grep -i recent
CONFIG_IP_NF_MATCH_RECENT=m
Est-ce une sécurité supplémentaire pour MySecureShell ? C'est quoi ? Que faut-il configurer ?
Je comprends rien !
"Être bahá'í signifie simplement aimer la terre toute entière, aimer l'humanité et essayer de la servir, travailler pour la paix universelle et la famille humaine" 'Abdul'l-Bahá
"Vouloir s'ouvrir aux autres n'est pas une preuve de faiblesse, c'est une preuve d'intelligence" Matthieu Ricard.
Hors ligne
#72 Le 14/11/2005, à 13:17
- Gillaume
Re : Evolutions du Serveur simple MySecureShell
je suis pas seul à pas trop comprendre !
A++
Guili Guili
Hors ligne
#73 Le 14/11/2005, à 13:29
- arvin
Re : Evolutions du Serveur simple MySecureShell
Pour savoir si le module recent a été compiler avec le kernel de Breezy:
$ cat /boot/config-2.6.12-9-386 |grep -i recent
CONFIG_IP_NF_MATCH_RECENT=m
"m" signifie module et donc que le module existe
Je ne sais pas si recent ce charge au boot, alors pour le lancer, la commande est:
sudo modprobe ipt_recent
A essayer
Mon blog pour Linux: http://jujuseb.com
Hors ligne
#74 Le 14/11/2005, à 13:39
- Gillaume
Re : Evolutions du Serveur simple MySecureShell
et là, tout s'éclaire !!
je teste ça ce soir chez moi !
merci bcp..
gui
Guili Guili
Hors ligne
#75 Le 14/11/2005, à 14:04
- arvin
Re : Evolutions du Serveur simple MySecureShell
Isaric, je te conseille de regarder les questions Q6 et Q7 du F.A.Q de Mysecureshell à l'adresse http://mysecureshell.sourceforge.net/fr/faq.html
Nerdman refait son site et suit de près nos discussions sur ce post .
Tu n'as pas besoin de t'inscrire pour discuter en IRC sur le site d'ubuntu.fr. Choisi le pseudo que tu veux. Tu devrais pouvoir chater si sun-j2re1.5 fonctionne avec firefox/mozilla.
Dernière modification par arvin (Le 14/11/2005, à 14:06)
Mon blog pour Linux: http://jujuseb.com
Hors ligne