question ftp-ssh

Message par **steff00** » jeu. 29 janv. 2015 14:37

bonjour a tous

j'ai mis en place pour certains de mes clients un serveur FTP ou ils viennent déposer un duplicata de leurs sauvegardes
je fonctionne en sftp, avec redirection de port, mais j'ai des tentatives d'usurpation de root en permanence
J'ai bien pensé à désactiver l'utilisation de root en dehors de la console, mais le serveur tourne sur une VM

quel moyen ai-je de sécuriser cette situation, avant qu'un ukrainien ou un chinois boutonneux finisse par trouver mon mot de passe ?

Merci d'avance

Message par **gizmo78** » jeu. 29 janv. 2015 14:44

iptables avec limitation des tentatives de connexion + fail2ban

Message par **kalistyan** » jeu. 29 janv. 2015 14:47

+1

Si clients avec IP fixe, n'autoriser que celle-ci...

Message par **dsebire** » jeu. 29 janv. 2015 16:11

pas mieux !

Message par **Zedoune** » jeu. 29 janv. 2015 20:31

tu as bien interdit d'ouvrir un shell avec le compte utilisé ?

Message par **steff00** » ven. 30 janv. 2015 09:12

les utilisateurs sont chrootés
mes clients ne sont pas tous en ipfixe
je regarde du cote du fail2ban

Merci à vous

Message par **Zedoune** » ven. 30 janv. 2015 09:36

utiliser des clés privés aussi ça aide ^^

Message par **dsebire** » ven. 30 janv. 2015 10:22

ajoute ça dans ton tes regles iptables, ça va les calmer

[cpp]iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 6 --name ssh --rsource -j REJECT --reject-with icmp-port-unreachable
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name ssh --rsource
iptables -A INPUT -s 61.64.128.0/17 -i eth0 -j LOG_REJECT_SMTP
iptables -A INPUT -s 122.120.0.0/13 -i eth0 -j LOG_REJECT_SMTP
iptables -A INPUT -s 168.95.0.0/16 -i eth0 -j LOG_REJECT_SMTP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,PSH,URG FIN,PSH,URG -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP[/cpp]

Message par **kalistyan** » ven. 30 janv. 2015 10:30

Possible de traduire ? :d

Message par **gizmo78** » ven. 30 janv. 2015 10:32

les deux premières tu protège ssh et tu limite le nombre de tentatives de connexions en 60.

ensuite, tu bloque des ip taiwanaises pour éviter attaque et utilisation du smtp pour spam

et ensuite protection contre les DDOS en évitant un certains types de paquets

Message par **dsebire** » ven. 30 janv. 2015 10:36

RTFM !

ligne 1 et 2, tu autorise le SSH sauf si trop de connex (6) en moins d'un certain temps (60sec)
ligne 3-4-5, ça bloque des plages réseaux, majoritairement asie
ligne 7-8-9, ça bloque des paquets mal formatés ou attaques a base de paquets spéciaux dont personne ne se sert

edit: guizmo plus rapide !

Message par **gizmo78** » ven. 30 janv. 2015 10:37

Message par **dsebire** » ven. 30 janv. 2015 10:43

ouais enfin t'as oublié le RTFM, qui était indispensable

Message par **gizmo78** » ven. 30 janv. 2015 10:46

certes certes

Message par **steff00** » ven. 30 janv. 2015 10:58

merci beaucoup
je vais aller mettre à jour mon iptables de suite

Message par **dsebire** » ven. 30 janv. 2015 11:09

si ça suffit pas, tu pourra passer a fail2ban
cette soluce a le mérite d'être simple et rapide a mettre en place (tout le monde a iptables sur les machines en direct sur le web)