« Trucs:Configurer sshdfilter sur une Mandriva2008.0 pour qu'il travaille avec shorewall comme pare-feu » : différence entre les versions
Aucun résumé des modifications |
|||
(Une version intermédiaire par un autre utilisateur non affichée) | |||
Ligne 9 : | Ligne 9 : | ||
<code>SSHD="/usr/sbin/sshdfilter" | <code>SSHD="/usr/sbin/sshdfilter" | ||
</code> | </code> | ||
( | (Vérifier dans ''/etc/init.d/sshd'' que la ligne ''[ -f /etc/sysconfig/sshd ] && . /etc/sysconfig/sshd'' | ||
se situe | se situe après la ligne ''SSHD=/usr/sbin/sshd'') | ||
'''2 Vérifier/modifier les parametres suivants dans /etc/sshdfilterrc''' | '''2 Vérifier/modifier les parametres suivants dans /etc/sshdfilterrc''' | ||
Ligne 35 : | Ligne 35 : | ||
Attention : les messages de '''sshd''' n'apparaissent plus dans '''/var/log/messages''' mais dans '''/var/log/auth.log''' . Les messages relatifs à la chaine '''SSHD''' sont issus de commandes "en dur" dans '''sshdfilter''', lesquelles servent à commander '''iptables''' ; ces erreurs sont sans conséquence. | Attention : les messages de '''sshd''' n'apparaissent plus dans '''/var/log/messages''' mais dans '''/var/log/auth.log''' . Les messages relatifs à la chaine '''SSHD''' sont issus de commandes "en dur" dans '''sshdfilter''', lesquelles servent à commander '''iptables''' ; ces erreurs sont sans conséquence. | ||
[[Catégorie:Trucs Réseau]] |
Dernière version du 25 décembre 2012 à 15:26
Configurer sshdfilter sur une Mandriva2008.0 pour qu'il travaille avec shorewall comme pare-feu
L'outil sshdfilter permet de réagir en temps réel aux attaques en force brute sur le serveur sshd. Après un certain nombre de refus de connexion, l'adresse ip de l'attaquant est bloquée par le pare-feu pour une période définie.
La détection est faite par une analyse en continu les messages de sshd. Les réactions sont l'envoi de consignes de blocage d'adresses ip au pare-feu. L'outil sshdfilter est construit à la base pour travailler avec le pare-feu iptables, mais sur la Mandriva2008.0 le pare-feu standard est shorewall.
1 Modifier /etc/sysconfig/sshd (cette opération aurait du être faite par le script d'installation du paquetage sshdfilter)
SSHD="/usr/sbin/sshdfilter"
(Vérifier dans /etc/init.d/sshd que la ligne [ -f /etc/sysconfig/sshd ] && . /etc/sysconfig/sshd
se situe après la ligne SSHD=/usr/sbin/sshd)
2 Vérifier/modifier les parametres suivants dans /etc/sshdfilterrc
firewalladd='shorewall drop $ip'
firewalldel='shorewall allow $ip'
logsource='STDIN'
debug=0
3 Relancer le service sshd
# service sshd restart
C'est fini ! Lire le fichier /etc/sshdfilterrc pour affiner les réglages si ça vous dit.
Pour lister les adresses bloquées
# shorewall show dynamic
Pour débloquer toutes les adresses (relance du pare-feu)
# service shorewall restart
Attention : les messages de sshd n'apparaissent plus dans /var/log/messages mais dans /var/log/auth.log . Les messages relatifs à la chaine SSHD sont issus de commandes "en dur" dans sshdfilter, lesquelles servent à commander iptables ; ces erreurs sont sans conséquence.