Reprise du message précédent :

 
 
Bah, le Kevin qui s'amuse à scanner des plages d'ip avec son ToOlZ, que ca soit une LS ou une ADSL, il a la gaule pareil,il a HaCkE une machine, phEaR !!

meu nan
 
spa avec son script à la con qu'il passera

en attedant kevin la gaule, il remplit mes logs et il m'enerve..
 
 
enfin il m'enervait car depuis le no root login, le changement de port ssh et le maxauthtries = 3  il a l'air de s'être trouvé une autre cible..
 
mais j'en suis toujours pas revnu que les dev d'openssh ,'aient pas prévu le blacklistage d'ip automatique..

 
C'est quand même le minimum vital, lis n'importe quel guide de sécurisation de sshd, ca sera écrit de faire ca.
 
Quand au blacklistage des ip, c'est pas à ssh de faire ca. T'as déjà vu un serveur apache ou un serveur mysql blacklister des ip en cas de mauvaise authentification répétée ?

Effectivement, c'est pas avec son script bidon qu'il passera (sauf si l'acces root est autorisé et que le mot de passe est 12345...) mais son script à la con bouffe du cpu et rempli les logs. Rien que pour ça, ça merite d'etre regardé de plus près.
 
J'ai vu un projet (qui date du 18/12/2004 !!!) sur sourceforge, il a pour but de blacklister au niveau iptables les ip qui provoquent des auth failure. Pour l'instant il n'y a rien dans le projet mais je pense que ça peut etre une solution (a condition que ce soit fiable ...)

le pb c'est qu'il n'y a rien de simple pour pour blacklister

j'ai vu qu'il y a un patch pour ssh (ou iptables ??) pour blacklister les IP, mais bon ça n'a pas l'air très suivi/abouti

netswitch> en effet. tu blacklistes avec un firewall car le firewall qui plus est pourra détecter certaines techniques d'IP spoofing, etc ...

Pour info, le projet en question (blacklister les ip a partir des logs d'authentification) c'est authfail : http://sourceforge.net/projects/authfail/ reste a attendre que ça avance

 
 
ou contribuer

C'est ce que je comptais faire mais j'ai peur que si je contribue, ça ne soit pas fiable

Concernant ton kevin : Mon kevin a moi il se servait d'un serveur web qui hebergeait ... un forum PHPBB
 
On a pas fini d'en chier avec les milliers de serveurs corrompu

Une alternative à authfail :  
 
http://sourceforge.net/projects/fail2ban

pas mal le coup du :
MaxStartups
MaxAuthTries
 
je vais peut etre conf ca

salut je viens de lire vite fait les réponses à ta question et j ai vu personne proposé un truc genre blacklisté dans le /etc/hosts.deny ?? ca pourrais pas etre la solution si ca viens toujours de la meme ip ?
 
enfin c juste une idée comme ca
 
bon courage
 
++
PkDeV

bah le pb c'est que c'est pas automatisé

MaxAuthTries n'apparait pas dans le man sshd_config

effectivement
 
option cachée ?

idées en vrac
 
portknocking
pam_tally
changement de port

Pour ma part j'ai fait un script vite fait en bash qui scanne les logs et applique les règles iptables qui vont bien. Par contre ça tourne une fois par heure seulement (cron) Enfin bon c'est fait à l'arrache aussi

Le danger que j'y trouve à ce genre de script, c'est qu'il faut aussi se protéger soi même, si un mec balance une merde qui te bloque toi avec, c'est pas la joie non plus

D'ailleurs il m'a servi cette nuit, +2800 tentatives en 1H. Mais il faut que je l'améliore, sinon pour ce que tu disais via mon serveur web je pourrais avec sudo + exec (php) lancer une commande qui réinitialise le firewall ... Je le fais déjà pour activer/désactiver certains trucs via apache (url protégée par password et connue de moi seul).

 
Tu peux nous faire partager ton script ?

Bon d'accord mais il est laid
 

 
Il faut que je rajoute une vérification pour voir si l'ip a déjà été blacklistée.
 
Edit : j'ai modifié le script

tu peux commencer par ne faire qu'une seule fois cette commande :
 

 

 
edit : il serait interessant de rajouter une whitelist, au cas où

 
Même en ayant changé le port ssh ?

 
 
Faut pas se planter en tapant son pass  

kler, surtout que ça m'arrive de me planter

 
Bein en fait j'ai remis le port par défaut pour tester un truc, mais je vais surement remettre l'ancien

 
Vas-y , j'ai déjà modifié des trucs. Sinon la whislist oui, suffit de mettre un grep -v.

vas-y quoi ?

Bein pour la ligne

, je vois pas sur le coup la L'exécuter une seule fois ?

oui elle est en double, donc autant mettre le résultat dans un variable
par contre adieux les retours à la ligne en shell

Ouais voila ça m'embête aussi pour les retours à la ligne. Enfin bon ça ira comme ça

oue kler
 
mais sinon il a une autre méthode : logtail
ça permet de ne pas parser tout le fichier de log à chaque fois, mais juste ce qu'il y a de nouveau dans le fichier

Oui tiens pas bête, je note