Problème des sécurité

[Lionel Porcheron]

Bonsoir,

Gerald ROCHAT a écrit :
> Bonsoir,
>
> Pas hazard en regardant mes logs j'ai trouvé ça dans auth.log.0:
>
> Dec  3 12:14:42 serveur sshd[16355]: Failed password for root from 
> 65.67.228.155 port 56607 ssh2
> Dec  3 12:14:46 serveur sshd[16357]: Failed password for root from 
> 65.67.228.155 port 58478 ssh2
> Dec  3 12:14:49 serveur sshd[16359]: Failed password for root from 
> 65.67.228.155 port 59467 ssh2
> Dec  3 12:14:53 serveur sshd[16361]: Failed password for root from 
> 65.67.228.155 port 32844 ssh2
> Dec  3 12:14:56 serveur sshd[16363]: Failed password for root from 
> 65.67.228.155 port 34635 ssh2
>
> Sur la journée de 3/12 pas moins de 3600 tentatives. En root et avec 
> tout les prénoms imaginables. Elles ont toutes échoué mais j'ai tout de 
> même un peu restreins SSH en autorisant qu'un seul utilisateur, moi en 
> l'occurence alors qu'avant root était également autorisé (Mon root à un 
> pass). J'ai agelement limité le nombre de tentatives.
>
> Etes vous également victime de ce genre de truc?
>   
Oui, c'est très courant ! Ce sont des attaques on ne peut plus classique
de dictionnaire sur ssh. Si tu as des mots de passes suffisamment
complexe, tu ne risques rien : ces attaques sont généralement basiques
(login/mdp du dictionnaire). Tu te fera juste poluer tes fichiers de
traces avec les lignes que tu as donné en exemple. Si tu veux te
prémunir de ce type de traces, tu as plusieurs méthodes :
- restreindre les adresses IP sources qui peuvent parler à ton serveur
SSH avec un firewall
- utiliser fail2ban (dans le dépôt Universe).
- utiliser une technique de type port knocking
(https://help.ubuntu.com/community/PortKnocking).

Lionel