Outils pour utilisateurs

Outils du site


system:security:sshlockout

sshlockout : protéger sshd(8) des attaques par brute force

Description

sshlockout(8) surveillera les sorties de syslog relative à ssh et gardera une trace des tentatives de connexions par des utilisateurs inconnus aussi bien que des erreurs d'authentification. Au bout de 5 tentatives sur une période d'une heure, une entrée permanente est ajoutée à la table associée aux adresses IP par pf(4).

www : https://www.dragonflybsd.org/

Installation

Installez le package sshlockout.


Documentation

man 8 sshlockout

Synopsis

#
# pf(4) configuration.
#

# in /etc/pf.conf
#
table <lockout> persist

# and later in /etc/pf.conf - see below
#
block in quick on egress proto tcp from <lockout> to port ssh

# in /etc/syslog.conf
#
auth.info;authpriv.info | exec /usr/bin/doas -n /usr/local/sbin/sshlockout -pf "lockout"

# in root's crontab
#
3 3 * * *  pfctl -tlockout -T expire 86400

Description

Ce programme est généralement paramétré dans le fichier /etc/syslog.conf comme pipe pour analyser les erreurs de connexion au service sshd(8) en temps réel. De plus, une entrée dans la crontab de root devrait être généralement créée pour nettoyer les entrées périmées dans la table de pf(4), au moins une fois par jour. L'utilisation de l'action expire au lieu de flush maintiendra le flux tournant des IP verrouillés. pf(4) doit être chargé et exécuté avec la table et des règles configurées correctement.

Ce programme surveillera les sorties de syslog relative à ssh et gardera une trace des tentatives de connexions par des utilisateurs inconnus aussi bien que des erreurs d'authentification. Au bout de 5 tentatives sur une période d'une heure, une entrée permanente est ajoutée à la table associée aux adresses IP par pf(4). Vous devez ajouter une règle au fichier pf.conf(4) pour bloquer les adresses IP listées dans cette table. L'entrée que vous devez créer dans cron nettoiera la liste de blocage typiquement une fois par jour.

Ce programme limite actuellement les tentatives de connexion ssh par force brute vers la machine.

Une fois que les règles pf(4) sont paramétrées, notez que la table sera remplie selon les connexions ssh échouées destinées vers la machine, en particulier. Si la machine agit en tant que routeur, vous pouvez décider que la règle pf(4) verrouille cette IP suspecte vers la machine elle-même, ou tout son trafic. Nous recommandons une règle de blocage inconditionnel.

Avis

Ce programme est toujours en cours de travail.

Voir aussi

Histoire

L'utilitaire sshlockout est apparu la première fois dans DragonFlyBSD 4.1.

Auteurs

Matthew Dillon dillon@backplane.com


13 Septembre 2017


system/security/sshlockout.txt · Dernière modification: 2020/08/28 12:13 de pengouinpdt