Page 1 sur 1
question ftp-ssh
Publié : jeu. 29 janv. 2015 14:37
par steff00
bonjour a tous
j'ai mis en place pour certains de mes clients un serveur FTP ou ils viennent déposer un duplicata de leurs sauvegardes
je fonctionne en sftp, avec redirection de port, mais j'ai des tentatives d'usurpation de root en permanence
J'ai bien pensé à désactiver l'utilisation de root en dehors de la console, mais le serveur tourne sur une VM
quel moyen ai-je de sécuriser cette situation, avant qu'un ukrainien ou un chinois boutonneux finisse par trouver mon mot de passe ?
Merci d'avance
question ftp-ssh
Publié : jeu. 29 janv. 2015 14:44
par gizmo78
iptables avec limitation des tentatives de connexion + fail2ban
question ftp-ssh
Publié : jeu. 29 janv. 2015 14:47
par kalistyan
+1
Si clients avec IP fixe, n'autoriser que celle-ci...
question ftp-ssh
Publié : jeu. 29 janv. 2015 16:11
par dsebire
pas mieux !
question ftp-ssh
Publié : jeu. 29 janv. 2015 20:31
par Zedoune
tu as bien interdit d'ouvrir un shell avec le compte utilisé ?
question ftp-ssh
Publié : ven. 30 janv. 2015 09:12
par steff00
les utilisateurs sont chrootés
mes clients ne sont pas tous en ipfixe
je regarde du cote du fail2ban
Merci à vous
question ftp-ssh
Publié : ven. 30 janv. 2015 09:36
par Zedoune
utiliser des clés privés aussi ça aide ^^
question ftp-ssh
Publié : ven. 30 janv. 2015 10:22
par dsebire
ajoute ça dans ton tes regles iptables, ça va les calmer
[cpp]iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 6 --name ssh --rsource -j REJECT --reject-with icmp-port-unreachable
iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name ssh --rsource
iptables -A INPUT -s 61.64.128.0/17 -i eth0 -j LOG_REJECT_SMTP
iptables -A INPUT -s 122.120.0.0/13 -i eth0 -j LOG_REJECT_SMTP
iptables -A INPUT -s 168.95.0.0/16 -i eth0 -j LOG_REJECT_SMTP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,PSH,URG FIN,PSH,URG -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP[/cpp]
question ftp-ssh
Publié : ven. 30 janv. 2015 10:30
par kalistyan
Possible de traduire ? :d
question ftp-ssh
Publié : ven. 30 janv. 2015 10:32
par gizmo78
les deux premières tu protège ssh et tu limite le nombre de tentatives de connexions en 60.
ensuite, tu bloque des ip taiwanaises pour éviter attaque et utilisation du smtp pour spam
et ensuite protection contre les DDOS en évitant un certains types de paquets
question ftp-ssh
Publié : ven. 30 janv. 2015 10:36
par dsebire
RTFM !
ligne 1 et 2, tu autorise le SSH sauf si trop de connex (6) en moins d'un certain temps (60sec)
ligne 3-4-5, ça bloque des plages réseaux, majoritairement asie
ligne 7-8-9, ça bloque des paquets mal formatés ou attaques a base de paquets spéciaux dont personne ne se sert
edit: guizmo plus rapide !
question ftp-ssh
Publié : ven. 30 janv. 2015 10:37
par gizmo78
question ftp-ssh
Publié : ven. 30 janv. 2015 10:43
par dsebire
ouais enfin t'as oublié le RTFM, qui était indispensable
question ftp-ssh
Publié : ven. 30 janv. 2015 10:46
par gizmo78
certes certes
question ftp-ssh
Publié : ven. 30 janv. 2015 10:58
par steff00
merci beaucoup
je vais aller mettre à jour mon iptables de suite
question ftp-ssh
Publié : ven. 30 janv. 2015 11:09
par dsebire
si ça suffit pas, tu pourra passer a fail2ban
cette soluce a le mérite d'être simple et rapide a mettre en place (tout le monde a iptables sur les machines en direct sur le web)
