Partage
  • Partager sur Facebook
  • Partager sur Twitter

Sécurité SSH

sshd_config

Sujet résolu
    2 mai 2022 à 13:53:10

    Bonjour à tous,

    Attendez que je vous explique tout !

    Alors, j'ai plusieurs raspberry (ça on s'en fout), dont un qui se trouve quelque part dans la nature :D !

    C'est celui qui est dans la nature qui va nous/vous intéresser.

    Sur ce raspberry, j'ai installé :

    • fail2ban afin de détecter une éventuelle connexion frauduleuse.
    • openSSH
    • msmtp
    • firewall (nftables)
    • Une clé SSH (ben quoi ?).

    Et voilà, rien d'autre. Le but, le sécuriser un maximum en installant un miminum de mer...

    Bon, ça fait plus d'un an que ça tourne presque sans problème, je dis presque car le 20 Mars dernier, j'ai droit à deux tentatives de connexions par jour...

    Ok, vous allez me dire : "Ben désactive l'authentification par mot de passe puisque tu as installé une clé", ben en fait, c'est déjà fait du coup,  je ne comprends pas pourquoi la personne non-binaire ou binaire arrive malgré tout à entrer des logins au hasard ?

    Ci-dessous mon fichier de configuration sshd_config :

    Port 38330
    LogLevel INFO
    StrictModes yes
    MaxAuthTries 5
    PubkeyAuthentication yes
    AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
    PasswordAuthentication no
    PermitEmptyPasswords no
    ChallengeResponseAuthentication no
    UsePAM no
    AllowUsers kevin@90.0.10.10
    PrintMotd no
    AcceptEnv LANG LC_*
    Subsystem sftp internal-sftp
             Match group gsftp
             #ChrootDirectory /home/%u
             X11Forwarding no
             AllowTcpForwarding no


    J'ai bien inséré la clause : PasswordAuthentication no.

    Ci-dessous, l'un des mails que je reçois de fail2ban :

    Hi,

    The IP 114.112.69.102 has just been banned by Fail2Ban after
    2 attempts against sshd.


    Here is more information about 114.112.69.102 :

    % [whois.apnic.net]
    % Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

    % Information related to '114.112.64.0 - 114.112.95.255'

    % Abuse contact for '114.112.64.0 - 114.112.95.255' is 'ipas@cnnic.cn'

    inetnum:        114.112.64.0 - 114.112.95.255
    netname:        CNISP-UNION
    descr:          CNISP-Union Technology (Beijing) Co., Ltd
    descr:          Room 503, Building D,
    descr:          No.2 Shangdi Xinxi Road Pioneering Park,
    descr:          Haidian District, Beijing, 100085, P.R.China
    country:        CN
    admin-c:        DY857-AP
    tech-c:         WF703-AP
    abuse-c:        AC1601-AP
    status:         ALLOCATED PORTABLE
    mnt-by:         MAINT-CNNIC-AP
    mnt-lower:      MAINT-AP-CNISP
    mnt-irt:        IRT-CNNIC-CN
    last-modified:  2021-06-16T01:28:32Z
    source:         APNIC

    irt:            IRT-CNNIC-CN
    address:        Beijing, China
    e-mail:         ipas@cnnic.cn
    abuse-mailbox:  ipas@cnnic.cn
    admin-c:        IP50-AP
    tech-c:         IP50-AP
    auth:           # Filtered
    remarks:        Please note that CNNIC is not an ISP and is not
    remarks:        empowered to investigate complaints of network abuse.
    remarks:        Please contact the tech-c or admin-c of the network.
    mnt-by:         MAINT-CNNIC-AP
    last-modified:  2021-06-16T01:39:57Z
    source:         APNIC

    role:           ABUSE CNNICCN
    address:        Beijing, China
    country:        ZZ
    phone:          +000000000
    e-mail:         ipas@cnnic.cn
    admin-c:        IP50-AP
    tech-c:         IP50-AP
    nic-hdl:        AC1601-AP
    remarks:        Generated from irt object IRT-CNNIC-CN
    abuse-mailbox:  ipas@cnnic.cn
    mnt-by:         APNIC-ABUSE
    last-modified:  2020-05-14T11:19:01Z
    source:         APNIC

    person:         Dong Yinliang
    address:        Rm503, Building D, No.2 Xinxi Road, Haidian, China
    country:        CN
    phone:          +86-10-82893336
    fax-no:         +86-10-82893337
    e-mail:         linyue@cnispgroup.com
    nic-hdl:        DY857-AP
    mnt-by:         MAINT-CNNIC-AP
    last-modified:  2019-09-03T00:50:44Z
    source:         APNIC

    person:         Wang Fei
    address:        Rm503, Building D, No.2 Xinxi Road, Haidian, China
    country:        CN
    phone:          +86-10-82893336
    fax-no:         +86-10-82893337
    e-mail:         linyue@cnispgroup.com
    nic-hdl:        WF703-AP
    mnt-by:         MAINT-CNNIC-AP
    last-modified:  2019-08-22T02:41:04Z
    source:         APNIC

    % This query was served by the APNIC Whois Service version 1.88.15-SNAPSHOT (WHOIS-US4)


    Lines containing failures of 114.112.69.102
    Apr 22 11:24:19 stockages sshd[5805]: User root from 114.112.69.102 not allowed because not listed in AllowUsers
    Apr 22 11:24:19 stockages sshd[5805]: Received disconnect from 114.112.69.102 port 49566:11: Bye Bye [preauth]
    Apr 22 11:24:19 stockages sshd[5805]: Disconnected from invalid user root 114.112.69.102 port 49566 [preauth]
    Apr 22 11:39:56 stockages sshd[5900]: User root from 114.112.69.102 not allowed because not listed in AllowUsers
    Apr 22 11:39:56 stockages sshd[5900]: Received disconnect from 114.112.69.102 port 44984:11: Bye Bye [preauth]
    Apr 22 11:39:56 stockages sshd[5900]: Disconnected from invalid user root 114.112.69.102 port 44984 [preauth]


    Regards,

    Fail2Ban

    Je me demande donc si quelqu'un a une idée du pourquoi et du comment ?

    Merci d'avance pour votre analyse et tout et tout :)

    -
    Edité par LeZero07 2 mai 2022 à 19:59:37

    • Partager sur Facebook
    • Partager sur Twitter
      2 mai 2022 à 17:30:21

      Salut, je réponds mais tu auras peut être mieux...Ton fail2ban semble bien fonctionner du coup non? C'est bien le but, de bannir une IP temporairement pour trop de tentatives de login/mdp.

      Si tu veux configurer SSH en nologin je te conseille cette playlist de YvesRougyFR qui est un tuto complet sur SSH et ce qu'il peut faire.

      https://www.youtube.com/watch?v=QGixbJ9prEc&list=PLQqbP89HgbbYIarPqOU8DdC2jC3P3L7a6

      Pour le changement de port c'est souvent inutile, tu auras toujours des attaques sur un port SSH, peut être moins, mais pas tellement en fait.

      • Partager sur Facebook
      • Partager sur Twitter
        2 mai 2022 à 20:21:12

        Salut maroufle34,

        En effet, mon fail2ban fonctionne bien, si un utilisateur tente de se connecter deux fois en moins de 10 minutes, il est banni pendant une semaine, s'il retente sa chance après une semaine, il est banni à jamais de la terre des lions.

        J'ai installé fail2ban au cas où mais normalement, je n'aurais jamais dû recevoir un mail informationnel. Comme quoi, dans la vie, on est jamais assez prudent.

        Merci pour le partage mais je connaissais déjà :D. Il faut que je trouve un peu de temps pour tenter la création des tunnels ssh et proxy socks (partie 6).

        Je me doutais que le changement de port était inefficace ou presque à cause des outils comme nmap. J'aurais pu installer portsentry mais la flemme ^^

        • Partager sur Facebook
        • Partager sur Twitter
          2 mai 2022 à 21:26:04

          T'inquiète pas pour ta sécurité à priori, SSH c'est un protocole solide avec des clés qui le sont tout autant, de moins en chiffrement moderne.

          Tes conditions fail2ban sont très restrictives, attention à ne pas bloquer le système pour ça, souvent on met moins, on banni pour 10 minutes et pas plus...De toute façon c'est des bots qui font ça et pour décrypter un mot de passe il leur faudrait quelques décennies.

          • Partager sur Facebook
          • Partager sur Twitter
            2 mai 2022 à 22:07:21

            Bonsoir,

            Le changement de port est efficace contre la plupart des bots, ce qui représente la majeur partie des tentatives de connections malicieuses.

            Les logs ne montrent pas de tentative de login par mot de passe mais des tentatives de login tout simplement qui sont rejetées par le serveur parce que le motif "USER@HOST" du mot clé AllowUsers ne correspond pas à l'utilisateur et l'hôte distant lors de la connexion.

            Faut croire que ton serveur est encore mieux sécurisé que tu ne le penses, car il faut en plus de la clé faire correspondre le bon utilisateur et le bon hôte distant de toute manière.

            • Partager sur Facebook
            • Partager sur Twitter
              5 mai 2022 à 9:24:31

              Bonjour messieurs,

              Merci pour vos réponses, je suis rassuré !

              Je passe donc le sujet en résolu.

              Bonne journée à tous :)

              • Partager sur Facebook
              • Partager sur Twitter
                5 mai 2022 à 19:56:03

                Résolu mais perso je te dirais de revoir tes règles fail2ban à la baisse...Là tu risques de planter ton serveur un jour d'amnésie ou si changement d'hôte pour se connecter, ce qui serait dommage pour la relative sécurité qu'apporte SSH à lui tout seul, même sans fail2ban qui te met juste des alertes pour 2 tentatives d'accès (et même pas de login comme l'a dit @KoaTao, c'est quand même très très restrictif comme règles.)
                • Partager sur Facebook
                • Partager sur Twitter

                Sécurité SSH

                × Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
                • Editeur
                • Markdown