Le jeudi 5 mars 2009 10:25, Matthieu Chauveau a écrit :
| Bonjour à tous,
Bonjour,
[...]
| On remarque ainsi que le service ssh a bien été détecté sur le port 2022
| mais qu'il n'a pas été capable de déterminer la version exact dont il donne
| la signature en fin d'analyse.
| On retrouve facileme
Le jeudi 5 mars 2009 10:06, François Cerbelle a écrit :
| Alain Vaugham a écrit :
| [...]
| > Y a-t-il une autre syntaxe de nmap qui permette de découvrir (en moins
| > d'une minute ;-) ) que dans mon exemple sur le port , c'est bien ssh
| > qui tourne même si c'est krb524 qui est affiché?
| >
ue
cela réduit tout de meme les risques liés à une éventuelle faille de ssh par ex.
J'espere avoir éclairé un peu la chose.
Cordialement,
Matthieu CHAUVEAU
_
From: Alain Vaugham [mailto:al...@vaugham.com]
To: linux@lists.parinux.org
Sent: Wed, 04 Mar 2009 19:00:50 +0100
Subje
Alain Vaugham a écrit :
[...]
> Y a-t-il une autre syntaxe de nmap qui permette de découvrir (en moins d'une
> minute ;-) ) que dans mon exemple sur le port , c'est bien ssh qui
> tourne même si c'est krb524 qui est affiché?
> J'ai parcouru le man de nmap mais il y a tellement de possibilité
Le samedi 31 janvier 2009 13:30, Jerome Kieffer a écrit :
| On Fri, 30 Jan 2009 22:47:38 +0100
| Alain Vaugham wrote:
|
| > Le mardi 20 janvier 2009 16:30, Paul Marques Mota a écrit :
| > | Le 20 janvier 2009 08:26, Jerome Kieffer
| > | a écrit :
| > | > On Tue, 20 Jan 2009 01:48:42 +0100
| > |
Le samedi 31 janvier 2009 13:30, Jerome Kieffer a écrit :
| On Fri, 30 Jan 2009 22:47:38 +0100
| Alain Vaugham wrote:
|
| > Le mardi 20 janvier 2009 16:30, Paul Marques Mota a écrit :
| > | Le 20 janvier 2009 08:26, Jerome Kieffer
| > | a écrit :
| > | > On Tue, 20 Jan 2009 01:48:42 +0100
| > |
On Fri, 30 Jan 2009 22:47:38 +0100
Alain Vaugham wrote:
> Le mardi 20 janvier 2009 16:30, Paul Marques Mota a écrit :
> | Le 20 janvier 2009 08:26, Jerome Kieffer
> | a écrit :
> | > On Tue, 20 Jan 2009 01:48:42 +0100
> | > Alain Vaugham wrote:
> | >
> | >> J'ai listé toutes les réponses reçues
Le mardi 20 janvier 2009 16:30, Paul Marques Mota a écrit :
| Le 20 janvier 2009 08:26, Jerome Kieffer
| a écrit :
| > On Tue, 20 Jan 2009 01:48:42 +0100
| > Alain Vaugham wrote:
| >
| >> J'ai listé toutes les réponses reçues :
| >> - le changement du port du sshd
| >
| > C'est con, un coup de nm
Le 20 janvier 2009 08:26, Jerome Kieffer
a écrit :
> On Tue, 20 Jan 2009 01:48:42 +0100
> Alain Vaugham wrote:
>
>> J'ai listé toutes les réponses reçues :
>> - le changement du port du sshd
>
> C'est con, un coup de nmap et on le retrouve ton port.
Oui. Le but de cette partie de la manip n'est
Title: Flashmail
Bonjour,Une autre possibilité (interessante aussi car il n'est pas toujours autorisé d'acceder par ssh en entreprise, depuis un cyber café ...) est d'utiliser ajaxterm qui permet d'obtenir un terminal via http (ou mieux https ...), un article y faisait référence il y a peu d
* patrick.forums.i...@nerim.net [20/01/2009 10:48] :
>
> Ca serait compliqué d'écrire des dummy ssh, dummy sendmail etc... qui
> seraient des softs qui accpetent les connections douteuse et renvoient
> "oui oui" a toutes les demandes mais en ne faisant rien. Du coup ca donne
> l'impression au scrip
Ca serait compliqué d'écrire des dummy ssh, dummy sendmail etc... qui
seraient des softs qui accpetent les connections douteuse et renvoient
"oui oui" a toutes les demandes mais en ne faisant rien. Du coup ca donne
l'impression au script d'attaque d'avoir gagné, et il passe au suivant.
> Le mardi
Le mardi 20 janvier 2009 09:17, François Cerbelle a écrit :
[...]
| En général, pour les services à authentification (ssh, mysql, ldap,
| ...), pour éviter les attaques brutes, je place des règles pour accepter
| explicitement les connexions depuis mes IP perso et pro,
Mon IP est instable.
--
Thomas Pedoussaut a écrit :
> Moins Gruik, ya l'excellent fail2ban.
> En gros, apres 3 erreurs de password, l'IP est blacklistée pour 10 minutes.
> Tres efficace.
Encore plus léger (rien en espace utilisateur) pour la même
fonctionnalité, il y a le module noyau "recent" dans NetFilter ! ;-)
En g
On Tue, 20 Jan 2009 01:48:42 +0100
Alain Vaugham wrote:
> J'ai listé toutes les réponses reçues :
> - le changement du port du sshd
C'est con, un coup de nmap et on le retrouve ton port.
> - l'interdiction de login par mot de passe en basculant sur des clefs
bof ...
> - l'autorisation d'un s
Le vendredi 16 janvier 2009 11:28, Alain Vaugham a écrit :
| Je ne pourrai vous tenir informés que dans plusieurs semaines car cette
| machine est peu utilisée.
Alors voilà, c'est juste pour vous tenir informés.
J'ai eu accès à la machine et j'ai récupéré 600 ko de logs décompressés étalés
sur
Loïc Bernable wrote:
> Sinon, en plus de tout ce qui vient de se dire, tu peux ne pas laisser
> le port SSH ouvert en permanence.
>
> Chez moi, il faut que j'envoie un email précis à un compte précis avec
> un mot de passe précis pour que la règle SSH soit ouverte pendant une
> minute sur mon PC. A
Le lundi 19 janvier 2009 19:53:49 Jean-Marc Beaune, vous avez écrit :
> J'essayes de mettre en place les fichiers de clefs publique/privée, je me
> galère un peu mais ça va bien finir par le faire !
As tu lu http://www.lea-linux.org/cached/index/Reseau-secu-ssh.html et
http://wiki.loria.fr/wiki/Du
Salut,
Merci la liste, je viens de m'apercevoir que mes logs ssh sont blindés de
tentatives d'intrusion en force brut...
J'essayes de mettre en place les fichiers de clefs publique/privée, je me
galère un peu mais ça va bien finir par le faire !
Merci encore,
JM
2009/1/19 François Cerbelle
>
On Mon, Jan 19, 2009 at 01:52:21PM CET François Cerbelle a tapoté:
> Oh, Géraldine !
:o)
> Loïc Bernable a écrit :
> [...]
>> C'est Traduction, pas Translation.
> Tu as bien raison. ;-)
> Mais pourquoi parles-tu d'"email" juste en dessous ??? (courriel, mél)
Parce qu'email, même si c'est un ang
Oh, Géraldine !
Loïc Bernable a écrit :
[...]
> C'est Traduction, pas Translation.
Tu as bien raison. ;-)
Mais pourquoi parles-tu d'"email" juste en dessous ??? (courriel, mél)
[...]
> Chez moi, il faut que j'envoie un email précis à un compte précis avec
> un mot de passe précis pour que la règl
2009/1/17 Loïc Bernable :
> Hello Alain,
>
> Sinon, en plus de tout ce qui vient de se dire, tu peux ne pas laisser
> le port SSH ouvert en permanence.
>
Dans ce cas, une bonne réponse est l'utilisation du « Port knocking »
une technique qui commence de plus en plus à faire parler d'elle.
Le prin
Tzacos a écrit :
>
>> Il y a aussi une autre solution avec iptables, bloquer
>> dynamiquement une adresse source pendant un certain temps après X
>> tentatives infructueuse de logging avec ssh.
>>
>> En pièce jointe le fichier à donner à iptables-restore, il faut
>> ensuite faire en sorte
Hello Alain,
On Fri, Jan 16, 2009 at 11:28:24AM CET Alain Vaugham a tapoté:
> Pour commencer je vais réduire les tentatives en changeant le port ssh et
> surveiller la taille des logs.
> Les mots de passes sont solides. Pas d'accès root.
>
> C'est la première fois que je suis confronté à ça.
>
>
>
> Il y a aussi une autre solution avec iptables, bloquer
> dynamiquement une adresse source pendant un certain temps après X
> tentatives infructueuse de logging avec ssh.
>
> En pièce jointe le fichier à donner à iptables-restore, il faut
> ensuite faire en sorte de le lancer au démarr
Alain Vaugham a écrit :
> Le vendredi 16 janvier 2009 03:28, ben a écrit :
> | Le principal problème de ce truc, c'est quand tes propres utilisateurs
> | n'ont pas de clés ssh et se gourrent dans leur mot de passe: dans cas,
> De quels utilisateurs s'agit-il?
> - ceux de la machine Ubuntu victime
2009/1/16 Alain Vaugham :
> Le vendredi 16 janvier 2009 03:28, ben a écrit :
> | Le principal problème de ce truc, c'est quand tes propres utilisateurs
> | n'ont pas de clés ssh et se gourrent dans leur mot de passe: dans cas,
> De quels utilisateurs s'agit-il?
> - ceux de la machine Ubuntu victime
Le vendredi 16 janvier 2009 03:28, ben a écrit :
| Le principal problème de ce truc, c'est quand tes propres utilisateurs
| n'ont pas de clés ssh et se gourrent dans leur mot de passe: dans cas,
De quels utilisateurs s'agit-il?
- ceux de la machine Ubuntu victime de l'attaque
ou
- ceux de mon pr
Bonjour et merci à tous pour vos conseils.
Je peux maintenant envisager l'ordre dans lequel je vais procéder et surtout
ne pas m'égarer à chercher sur google les bonnes syntaxes.
Pour commencer je vais réduire les tentatives en changeant le port ssh et
surveiller la taille des logs.
Les mots d
Cyprien Le Pannérer a écrit :
Le vendredi 16 janvier 2009 à 00:46 +0100, Alain Vaugham a écrit :
Bonsoir la liste,
J'ai installé une Ubuntu à 250 bornes de chez moi.
J'y accède par ssh pour administrer et vncviewer pour montrer comment ça
marche.
J'ai trouvé ça dans le /var/log/auth.log :
Bonjour,J'ai un serveur ssh qui a eu droit à de nombreuses tentatives de force brute, j'ai installé une combinaison de: -pam_allow: http://www.linuxweblog.com/limit-users-pam - un denyhost TRES restrictif, dans ce style: http://centoshacker.com/kabir/security/restricting-ssh-access-attempts-u
Le vendredi 16 janvier 2009 à 00:46 +0100, Alain Vaugham a écrit :
> Bonsoir la liste,
>
> J'ai installé une Ubuntu à 250 bornes de chez moi.
> J'y accède par ssh pour administrer et vncviewer pour montrer comment ça
> marche.
>
> J'ai trouvé ça dans le /var/log/auth.log :
>
> [couic]
> Jan 13
bonsoir,
désolé pour le long mail, mais ca peut valloir le coup:
pour détecter et bannir à jamais les attaques de force brute, je
conseille, à tes risques (de scier la branche sur laquelle tu est)
d'utiliser les tcpwrappers. (man hosts_access; man hosts_options)
Exemple d'utilisation:
Si sshd
Le vendredi 16 janvier 2009 Alain Vaugham s'exprimait ainsi:
> Bonsoir la liste,
>
> J'ai installé une Ubuntu à 250 bornes de chez moi.
> J'y accède par ssh pour administrer et vncviewer pour montrer comment ça
> marche.
>
> J'ai trouvé ça dans le /var/log/auth.log :
>
> [couic]
> Jan 13 09:12:
Alain Vaugham wrote:
> et à la même fréquence ça continue sur différents ports avec :
> earl
> earlene
> early
> ernest
> easter
> eavan
> etc...
>
>
> Qu'en pensez-vous?
>
Que tu viens de decouvrir la joie d'operer un serveur sur Internet.
Depuis 12 ans que je suis dans la meme position, le att
2009/1/16 Alain Vaugham :
> Bonsoir la liste,
>
> J'ai trouvé ça dans le /var/log/auth.log :
>
> et à la même fréquence ça continue sur différents ports avec :
> earl
> earlene
> early
> ernest
> easter
> eavan
> etc...
>
> Qu'en pensez-vous?
Que c'est une attaque vieille comme le monde: ils essay
36 matches
Mail list logo
