Le blog de llaumgui - SSH

Finch, Pidgin en mode texte

llaumgui — Thu, 31 Jan 2008 14:20:00 +0100

En direct de Solutions Linux où le net est très bridé... Pour me connecter à MSN & Jabber, je passe par le SSH pour me connecter à la spb-box d'où je lance finch...

Geek un jour...

fail2ban et l'erreur "Please check the format and your locale settings."

llaumgui — Wed, 25 Apr 2007 22:44:00 +0200

J'avais déjà parlé de fail2ban dans un précédent billet, hors depuis quelque temps, je ne reçoit plus de mail d'alerte de la part de ce scripts... Arrêterait-on de forcer les accès SSH de Borsalino ?
C'est donc en contrôlant les logs (/etc/log/fail2ban.log), que je tombe sur près de 45.000 entrées.

root@borsalino ~> wc -l /var/log/fail2ban.log

45 751 /var/log/fail2ban.log

Un petit cat et je me rends compte d'une ligne récurante :

ERROR: time data did not match format: data=Mar 21 10:00:50 fmt=%b %d %H:%M:%S

ERROR: Please check the format and your locale settings.

Après recherche sur le wiki de fail2ban, et la lecture de la faq, il s'avère que ce message vient d'un bug (#1457620) introduit dans la version 0.6.1, fixé (0.6.2) et du à l'expression régulière en charge de l'analyse des logs.

En effet mon système étant en français (fr_FR), fail2ban s'attend à trouver des logs (/var/log/secure) avec des dates françaises, ce qui n'est pas le cas... Pour cela, comme indiqué dans la faq, il suffit de renseigner la ligne locale dans le fichier de configuration (/etc/fail2ban.conf) :

# Option:  locale

# Notes.:  global (cannot be redefined per section) locale to use for

#          timestamp pattern matching by changing LC_TIME for

#          fail2ban process. Empty entry sets locale to default one

#          (usually specified by LC_ALL environment variable).

# Values:  LOCALE  Default:

#

locale = en_US

Protéger les accès SSH avec fail2ban

llaumgui — Mon, 13 Nov 2006 19:45:00 +0100

Après l'attaque de ce week-end et après une lecture des logs d'accès ssh, je me suis décidé à mettre en place une gestion automatique des bannissements d'IPs.

L'idée est simple : bannir les IPs qui tentent de passer le compte root en "Brut de force".
Il est évident que l'accès root n'est pas autorisé en ssh (PermitRootLogin no) tout comme les mots de passe (PasswordAuthentication no), et que de telles attaques ne peuvent pas aboutir, mais c'est pour le principe ;-).

root@borsalino ~> cat /var/log/secure.1 | grep "Failed password for root" --count

1812

Sur les conseils de Titax, je me suis penché sur fail2ban, mais à la différence de la méthode proposée par Thierry, j'ai préféré utiliser le dépôts dries.

Si vous ne l'avais pas installé, vous en trouverez la config ici.

Pour installer fail2ban :

root@borsalino ~> yum --enablerepo=dries install fail2ban

Une fois le service installé, il faut le configurer, ça ce passe dans /etc/fail2ban.conf, le fichier et très bien documenté vous pourrez y régler le nombre de tentative, la durée du bannissement, les services concernés (ssh mais possibilité de le mettre en place pour apache), et l'envoi de mail lors d'un bannissement.

Ensuite, pour activer le service :

root@borsalino ~> /sbin/chkconfig --add fail2ban

root@borsalino ~> /sbin/service fail2ban start

Lancement d'applications graphiques via SSH

llaumgui — Wed, 21 Dec 2005 21:38:00 +0000

Pour contrôler une machine à distance, la VNC c'est bien, mais gourmand en bande passante et moyennement sécurisé. L'alternative lorsqu'on sort de son réseau domestique est alors d'utiliser SSH.

Contrairement aux idées reçues, SSH permet plus que le texte et autorise aussi l'affichage sur une machine A d'une application tournant sur une machine B. Pour notre exemple, nous simulerons la mise à jour de mon serveur (192.168.1.1) à partir de ma station (192.168.1.2) tous deux sous Linux Fedora Core 4.

ssh -c blowfish -X -f -C root@192.168.1.1 yumex

Et hop, la fenêtre du serveur se lance à partir de la station :-).

A noter que la station n'est pas obligée de posséder le paquets yumEx d'installé, c'est bien sûr le yumEx du serveur qui s'exécute !
A noter encore, que la station ne tourne pas forcement sous Linux. Il suffit juste d'avoir un client SSH (Putty) et un serveur X11 et. Il en existe 2 principaux pour Windows :

x-Win32 (Payant).
CygWin (Gratuit).