Bonjour à tous,

Attendez que je vous explique tout !

Alors, j'ai plusieurs raspberry (ça on s'en fout), dont un qui se trouve quelque part dans la nature  !

C'est celui qui est dans la nature qui va nous/vous intéresser.

Sur ce raspberry, j'ai installé :

• fail2ban afin de détecter une éventuelle connexion frauduleuse.
• openSSH
• msmtp
• firewall (nftables)
• Une clé SSH (ben quoi ?).

Et voilà, rien d'autre. Le but, le sécuriser un maximum en installant un miminum de mer...

Bon, ça fait plus d'un an que ça tourne presque sans problème, je dis presque car le 20 Mars dernier, j'ai droit à deux tentatives de connexions par jour...

Ok, vous allez me dire : "Ben désactive l'authentification par mot de passe puisque tu as installé une clé", ben en fait, c'est déjà fait du coup,  je ne comprends pas pourquoi la personne non-binaire ou binaire arrive malgré tout à entrer des logins au hasard ?

Ci-dessous mon fichier de configuration sshd_config :

Port 38330
LogLevel INFO
StrictModes yes
MaxAuthTries 5
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
PasswordAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
UsePAM no
AllowUsers kevin@90.0.10.10
PrintMotd no
AcceptEnv LANG LC_*
Subsystem sftp internal-sftp
         Match group gsftp
         #ChrootDirectory /home/%u
         X11Forwarding no
         AllowTcpForwarding no

J'ai bien inséré la clause : PasswordAuthentication no.

Ci-dessous, l'un des mails que je reçois de fail2ban :

Hi,

The IP 114.112.69.102 has just been banned by Fail2Ban after
2 attempts against sshd.


Here is more information about 114.112.69.102 :

% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

% Information related to '114.112.64.0 - 114.112.95.255'

% Abuse contact for '114.112.64.0 - 114.112.95.255' is 'ipas@cnnic.cn'

inetnum:        114.112.64.0 - 114.112.95.255
netname:        CNISP-UNION
descr:          CNISP-Union Technology (Beijing) Co., Ltd
descr:          Room 503, Building D,
descr:          No.2 Shangdi Xinxi Road Pioneering Park,
descr:          Haidian District, Beijing, 100085, P.R.China
country:        CN
admin-c:        DY857-AP
tech-c:         WF703-AP
abuse-c:        AC1601-AP
status:         ALLOCATED PORTABLE
mnt-by:         MAINT-CNNIC-AP
mnt-lower:      MAINT-AP-CNISP
mnt-irt:        IRT-CNNIC-CN
last-modified:  2021-06-16T01:28:32Z
source:         APNIC

irt:            IRT-CNNIC-CN
address:        Beijing, China
e-mail:         ipas@cnnic.cn
abuse-mailbox:  ipas@cnnic.cn
admin-c:        IP50-AP
tech-c:         IP50-AP
auth:           # Filtered
remarks:        Please note that CNNIC is not an ISP and is not
remarks:        empowered to investigate complaints of network abuse.
remarks:        Please contact the tech-c or admin-c of the network.
mnt-by:         MAINT-CNNIC-AP
last-modified:  2021-06-16T01:39:57Z
source:         APNIC

role:           ABUSE CNNICCN
address:        Beijing, China
country:        ZZ
phone:          +000000000
e-mail:         ipas@cnnic.cn
admin-c:        IP50-AP
tech-c:         IP50-AP
nic-hdl:        AC1601-AP
remarks:        Generated from irt object IRT-CNNIC-CN
abuse-mailbox:  ipas@cnnic.cn
mnt-by:         APNIC-ABUSE
last-modified:  2020-05-14T11:19:01Z
source:         APNIC

person:         Dong Yinliang
address:        Rm503, Building D, No.2 Xinxi Road, Haidian, China
country:        CN
phone:          +86-10-82893336
fax-no:         +86-10-82893337
e-mail:         linyue@cnispgroup.com
nic-hdl:        DY857-AP
mnt-by:         MAINT-CNNIC-AP
last-modified:  2019-09-03T00:50:44Z
source:         APNIC

person:         Wang Fei
address:        Rm503, Building D, No.2 Xinxi Road, Haidian, China
country:        CN
phone:          +86-10-82893336
fax-no:         +86-10-82893337
e-mail:         linyue@cnispgroup.com
nic-hdl:        WF703-AP
mnt-by:         MAINT-CNNIC-AP
last-modified:  2019-08-22T02:41:04Z
source:         APNIC

% This query was served by the APNIC Whois Service version 1.88.15-SNAPSHOT (WHOIS-US4)


Lines containing failures of 114.112.69.102
Apr 22 11:24:19 stockages sshd[5805]: User root from 114.112.69.102 not allowed because not listed in AllowUsers
Apr 22 11:24:19 stockages sshd[5805]: Received disconnect from 114.112.69.102 port 49566:11: Bye Bye [preauth]
Apr 22 11:24:19 stockages sshd[5805]: Disconnected from invalid user root 114.112.69.102 port 49566 [preauth]
Apr 22 11:39:56 stockages sshd[5900]: User root from 114.112.69.102 not allowed because not listed in AllowUsers
Apr 22 11:39:56 stockages sshd[5900]: Received disconnect from 114.112.69.102 port 44984:11: Bye Bye [preauth]
Apr 22 11:39:56 stockages sshd[5900]: Disconnected from invalid user root 114.112.69.102 port 44984 [preauth]


Regards,

Fail2Ban

Je me demande donc si quelqu'un a une idée du pourquoi et du comment ?

Merci d'avance pour votre analyse et tout et tout

-
Edité par LeZero07 2 mai 2022 à 19:59:37

Salut, je réponds mais tu auras peut être mieux...Ton fail2ban semble bien fonctionner du coup non? C'est bien le but, de bannir une IP temporairement pour trop de tentatives de login/mdp.

Si tu veux configurer SSH en nologin je te conseille cette playlist de YvesRougyFR qui est un tuto complet sur SSH et ce qu'il peut faire.

https://www.youtube.com/watch?v=QGixbJ9prEc&list=PLQqbP89HgbbYIarPqOU8DdC2jC3P3L7a6

Pour le changement de port c'est souvent inutile, tu auras toujours des attaques sur un port SSH, peut être moins, mais pas tellement en fait.

Salut maroufle34,

En effet, mon fail2ban fonctionne bien, si un utilisateur tente de se connecter deux fois en moins de 10 minutes, il est banni pendant une semaine, s'il retente sa chance après une semaine, il est banni à jamais de la terre des lions.

J'ai installé fail2ban au cas où mais normalement, je n'aurais jamais dû recevoir un mail informationnel. Comme quoi, dans la vie, on est jamais assez prudent.

Merci pour le partage mais je connaissais déjà . Il faut que je trouve un peu de temps pour tenter la création des tunnels ssh et proxy socks (partie 6).

Je me doutais que le changement de port était inefficace ou presque à cause des outils comme nmap. J'aurais pu installer portsentry mais la flemme

T'inquiète pas pour ta sécurité à priori, SSH c'est un protocole solide avec des clés qui le sont tout autant, de moins en chiffrement moderne.

Tes conditions fail2ban sont très restrictives, attention à ne pas bloquer le système pour ça, souvent on met moins, on banni pour 10 minutes et pas plus...De toute façon c'est des bots qui font ça et pour décrypter un mot de passe il leur faudrait quelques décennies.

Bonsoir,

Le changement de port est efficace contre la plupart des bots, ce qui représente la majeur partie des tentatives de connections malicieuses.

Les logs ne montrent pas de tentative de login par mot de passe mais des tentatives de login tout simplement qui sont rejetées par le serveur parce que le motif "USER@HOST" du mot clé AllowUsers ne correspond pas à l'utilisateur et l'hôte distant lors de la connexion.

Faut croire que ton serveur est encore mieux sécurisé que tu ne le penses, car il faut en plus de la clé faire correspondre le bon utilisateur et le bon hôte distant de toute manière.

Bonjour messieurs,

Merci pour vos réponses, je suis rassuré !

Je passe donc le sujet en résolu.

Bonne journée à tous