Reprise du message précédent :
vi

sachant qu'il y a certaines IP qui font 500 voire 1000 tentatives, ça fait environ 20-30 IP sur 5 mois

Le script se lance en root ?
 
Parceque en non root, j'ai rien qui se passe.

oui car il fait appel à iptables et en général les fichiers de logs ne sont pas lisibles en noon root

 
Bin j'ai rien dans /home/bris/ban_ip/log/    
 
Aucun fichier j'ai fait un ls -la rien de rien  

sinon, j'ai qu'un routeur@home
je sais quelles ip peuvent acceder au serveur ssh, ya pas moyen de définir quelles sont les adresses autorisées pour certains ports ?

oui ça j'y ai déjà pensé, et je vais rajouter la gestion d'une whitelist

c'est quoi ce rep ??

heu tu peux le faire directement avec iptables ça

 
tu peux m'indiquer comment ?
un petit exemple de regles, ou un lien ? je ne sais pas comment orienter mes recherchess

je pense que pour chaque ip tu peux faire :
 
$IPTABLES -A FORWARD -i $INTERFACE -s IP --dest-port !ssh -j DROP
 
ou un truc du genre (tout ce qui n'est pas à destination de ssh pour cette IP est droppé)

 
Le répertoire de log
J'ai remplacer sa
 
my $tail = `logtail -f /var/log/ssh.log`;
 
par sa
 
my $tail = `logtail -f /home/bris/ban_ip/log/ssh.log`;
 
Ou il faut que je laisse
 
my $tail = `logtail -f /var/log/ssh.log`;
 
???

tu as les log dans /home/bris/log/ssh.log ??
 
je ne pense pas
 
regarde dans quel fichier de log tu as les log de ssh

 
Un
 
find / -name ssh.log
 
Et aucun fichier de log ssh  

moi c'est ssh.log car j'ai tout rediriger les logs de ssh dans ssh.log
regarde si tu as des illegal users dans /var/log/message ou all.log ou ....

grep ssh /var/log/*

 
 
Comme ma machine est sur le réseau LAN sa vient pas de la ?
 
Peut-être qui y'a pas d'attaque ?
 
Donc pas de log ?

 
Merci pour la commande.
 
Je vois, y'a pas mal de ligne dans /var/log/auth.log
 
Je fais des modif ou pour que sa fonctionne ?

 
nan la je dis bravo

j'ai rajouté la gestion des whitelist

pas encore en ligne

tomate, mes illegal users apparaissent dans auth.log, tu peux me filer la ligne de conf pour sshd pour séparé tout les logs de ssh ?

j'utilise syslog-ng pour faire ça et toi ?

Bonne question je n'en ai aucune idée
 
J'utilise une debian sarge

bah regarde

 
Ca peut être ca  
 
Désolé j'i vraiment aucune idée de comment ca marche les logs

donc c'est syslog tout court

Possible

Heu quand j'install mysql-server, il est pas censé me demandé de créer un compte admin

 
 
par defaut c'est root sans mot de passe, il faut vite changer ...
 
installe phpmyadmin

flag déguisé pour dire que en depuis le 25 avril jusqu'a hier j'ai eu quelques milliers d'ataques

Une petite suggestion, test si logtail éxiste, sinon le process se lance sans la moindre erreur
 
 
PS : Une fois qu'il est lancé comment vérifier qu'il tourne (si il tourne )
 
Il m'a bien detecter la liste des illegal user du log et a banni les IP, mais maitenant, si une nouvelle entrée arrive dans le log ?

Mon iptables à bien été modifier :
 

 
Si j'ai bien compris le fonctionnement du script de tomate, ses adresses IP il les tire d'un fichier de log. Ces logs proviennent du serveur de ssh car il y a eut un mauvais login/passwd donné à partir d'une de ces adresses. Sachant que c'est du TCP, que les numéros de séquence sous linux sont pas top prévisible, toussa, je doute que celà soit aussi facile à faire...
 
Enfin c'est mon avis

pour l'instant on le lance à la main, mais bon on peut rajouter l'appel dans cron
 
je peux modifier l'affichage pour qu'on voit ce qui est ban/deban à chaque passage

bon j'ai modifié le script car j'ai trouvé un bug (dans la fonction unban, qui débannissait tout le temps en fait )

oue pas bête ça    
 
je ferai ça bientôt

 
Dans ce cas la, il suffirait peut être d'ajouter une liste d'IP a ne jamais bannir, non?

Heu juste une sugesstion, il serait peut etre plus intelligent de fair eun tail -f sur log ou d'utiliser Swatch par exemple et de bannir les IP avec 3 illegal users successifs, non ?

ça ne fait pas un illegal user de se tromper de mdp

et si tu te trompes de user