Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[SSH]Mail lors d'une connexion réussie

wnl

Bonjour,

J'ai un serveur qui tourne bien et sur lequel j'ai installé et configuré Fail2Ban. Jusque là rien d'anormal, j'en suis satisfait.

Seulement, depuis quelques jours, le nombre de tentatives de connexion ne cesse d'augmenter, et je suis passé de 1 ou 2 bannissements par jour, à une cinquantaine !

Pour les comptes autorisés à se connecter en SSH, j'ai des mots de passe assez forts (30 caractères, chiffres, lettres, majuscules, caractères spéciaux...). Mais je me dis que plus il y a d'essais, plus les chances de tomber sur le bon mot de passe sont élevées.

Afin de me rassurer, j'aimerai donc mettre en place un système qui, comme le fait Fail2Ban lorsqu'il bannit une IP, m'enverrait un mail pour chaque connexion réussie au serveur.

Auriez-vous des solutions à me proposer ?

Merci d'avance.

Kooothor

Salut,

Tu veux une solution ?

- changer le port par défaut (22 -> 42345)
- mettre en place une authenticication par clés RSA (bye bye les mots de passe, bye bye Fail2ban)

@+
~ktr

PS: et pour répondre à ta question : http://blog.th-neumeier.de/2011/02/send-email-on-ssh-login-using-pam/

wnl

Merci 🙂

Kooothor a écrit - changer le port par défaut (22 -> 42345)
- mettre en place une authenticication par clés RSA (bye bye les mots de passe, bye bye Fail2ban)

Je ne peux pas changer de port car le 22 est le seul (à part 80 et 443) à être ouvert au travail.
Pour les clés RSA, j'avais effectivement regardé de ce côté, mais ça alourdit le processus.

Je sais, tu vas me dire que je veux le beurre et l'argent du beurre. Mais ma question était surtout pour voir si il existait une solution simple pour ma situation actuelle. J'ai bien conscience que si je veux de la sécurité, il y a du travail. 🙂

Kooothor a écrit PS: et pour répondre à ta question : http://blog.th-neumeier.de/2011/02/send-email-on-ssh-login-using-pam/

Merci beaucoup, je vais regarder cela avec intérêt.

Kooothor

443 c'est toujours mieux que 22, dis-toi que les scripts automatiques seront quasiment TOUJOURS sur le port 22 !
Les clés ça n'alourdit rien du tout ! Au contraire, tu n'as plus à taper de mot de passe, du coup tu peux même faire de l'autocompletion avec scp; en fait je n'envisage même plus ssh sans une identification par clés !

@+
~ktr

nesthib

Il est inutile de changer le port par défaut, ça n'augmente pas significativement la sécurité. Sinon je recommande aussi l'authentification par clé lorsque c'est possible.

Pour ce qui est du mail, regarde dans la configuration des prisons (jail) de fail2ban, tu peux lancer des commandes. Si tu veux faire quelque chose à la main il te faut scruter le fichier /var/log/auth.log

wnl a écritMais je me dis que plus il y a d'essais, plus les chances de tomber sur le bon mot de passe sont élevées.

C'est tout à fait vrai en théorie… mais en pratique ça n'a pas d'influence. Entre un pourcentage négligeable et un pourcentage encore plus négligeable il n'y a pas de soucis. Regarde le fichier de log que je mentionne plus haut et tu verras que déjà les noms d'utilisateurs testés ne sont pas les bons (selon l'ip d'origine de l'attaque tu aurait des choses du genre « student01 », « estudiante », « root », « admin », « ftp »)
pour le vérifier automatiquement :

WHINY_USERS=1 awk '/Failed password for invalid user/{_[$11]++}END{for (i in _){printf "%s%s (%s)" ,sep,i,_[i];sep=", "};printf "\n"}' /var/log/auth.log

(il est possible que ça ne fonctionne pas si tes logs sont un peu différents)

Pour trouver un bon mot de passe (caractères alphanumériques+symboles et taille suffisante) par force brute il faut des millions et des millions d'essais.

Kooothor

nesthib a écritIl est inutile de changer le port par défaut, ça n'augmente pas significativement la sécurité.

Je ne suis pas d'accord, imho c'est la première chose à faire quand t'installes un service (quel qu'il soit) => changer le port par défaut. Ça limite carrément les scripts auto qui cherchent des failles !

nesthib

La sécurité par l'obscurité n'est pas une bonne solution, et c'est ce que tu fais ici. Respecter les standards est en revanche une bonne chose.
Il est très facile de trouver sur quel port tourne ton service, il est même facile d'obtenir des informations sur la version de ton service:

nc ton_serveur_ssh 22

Changer ces informations va certes diminuer la visibilité par les scripts que tu décris, mais ces scripts ne sont pas efficaces, il permettent d'attaquer des machines avec une sécurité déplorable (ex. routeurs avec mots de passe par défaut). Contre une attaque ciblée, changer le port ne sera pas efficace. Ici c'est un peu comme si tu accrochais la clé de ta maison sur un clou à côté de la porte, mais que tu mettes le clou trop haut pour qu'un enfant puisse l'attraper.

Changer les ports par défaut ou cacher des information n'est PAS un principe de sécurité robuste. Un autre exemple classique : cacher l'identifiant d'un réseau WiFi. Non seulement ça n'apporte aucune sécurité supplémentaires (l'identifiant peut être obtenu facilement car il DOIT transiter à moment où à un autre) mais cela peut induire des erreurs ou des problèmes de connexion. C'est la même chose pour ton service ssh, d'un côté le gain de protection est négligeable mais de l'autre tu peux induire des erreur de fonctionnement pour certains programmes (légitimes) qui respecteront le standard de communication.

AMHA la seule bonne raison de changer les ports par défaut et les standards de communication est afin d'outrepasser un filtrage.

Kooothor

Je campe ma position :
Certes il est facile de scanner les services ouverts, mais très peu de scripts auto prennent le temps de monter au dessus du port 1000. Et je ne dis pas que changer le port c'est la solution à tout, je dis que ça fait partie des choses à faire parmi d'autres.

@+
~ktr

[supprimé]

le ssh est quand même la pierre angulaire des admin, ..

+1 @Kooothor

Djerfy

Si tu souhaite vraiment attaquer une machine ( non pas des script kiddies ) il sera très rapide de retrouver le port sur lequel écoute ton service SSH.
Sur mes serveurs, il est également laissé sur le port 22.

Je ton conseil effectivement de mettre en place un système par clé, c'est très bien sécurisé 🙂

Avant de casser un mot de passe ( 30 caractères, chiffres, lettres, majuscules, caractères spéciaux... ) il faut beaucoup beaucoup de temps. Sachan que tu possède Fail2Ban qui va bannir la connexion après un nombre définie dans ta configuration, je ne pense pas que la personne va pouvoir faire sa connexion facilement.

Si sa arrive, je pense que tu sera déjà en maison de retraite 😛

Ah oui et pourquoi et met pas une commande sendmail dans le .bashrc ? 🙂