Logs effacés.

[thierryR]

Je n'ai jamais rien compris à iptable et encore moins à son articulation avec fail2ban. Si SSH n'est pas protégé par défaut, je ne saurai pas le faire. Je comprends beaucoup mieux firewalld. Dans tous les cas ce sont des usines à gaz.

[dyox]

Je vous conseille de pentester en local avec nmap les "ouvertures" qu'il peut détecter.
C'est toujours impressionnant le retour d'infos.

[thierryR]

Merci Diox. Je m'y mets de suite.

Code : Tout sélectionner

nmap -sT localhost
Starting Nmap 7.70 ( https://nmap.org ) at 2021-07-12 14:32 CEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0013s latency).
Other addresses for localhost (not scanned): ::1
Not shown: 997 closed ports
PORT      STATE SERVICE
22/tcp    open  ssh
25/tcp    open  smtp
20000/tcp open  dnp

Le port 20000 est pour mon reverse ssh le 22 pour ssh et le 25 il ne sert à rien.

Idem en ipv6

Code : Tout sélectionner

 nmap -sT -6 ::1
Starting Nmap 7.70 ( https://nmap.org ) at 2021-07-12 14:36 CEST
Nmap scan report for localhost (::1)
Host is up (0.0014s latency).
Not shown: 997 closed ports
PORT      STATE SERVICE
22/tcp    open  ssh
25/tcp    open  smtp
20000/tcp open  dnp

[dyox]

Essayez aussi avec -A (pour agressif) et -Ss et -v. Il y a de quoi s'amuser
voir : https://linux.die.net/man/1/nmap

Bizarre pour le port 25 d'ouvert. Si c'est en entrée, je comprends qu'il y a un serveur de mail.

Et le 20000, c'est quoi ? https://www.speedguide.net/port.php?port=20000

Déjà il faut changer le port 22. Cela évitera les scripts kiddies.

[thierryR]

Dis moi si je me trompe. En changeant le port SSH, il faut reparamétrer iptable, et fail2ban
Pour le port 20000 voici l'explication: https://routeur4g.fr/discussions/discus ... r-avec-ssh

[dyox]

Oui il faut tout reparamétrer

[piper]

Sinon, pour se protéger des tentatives d'accès par ssh :
a part virer les users courants (root/pi), changer le port, utiliser des clés ce que visiblement vous avez déjà fait.
Il y a d'autres options :
Evidement il y a fail2ban (pas compliqué lorsqu'il ne s'agit que de protéger ssh, il peut sembler complexe pour le reste je l'accorde .... d'ailleurs chez moi, je n'ai pas réussi à lui faire protéger vsftpd alors qu'il me protège sans soucis sur sshd, postfix, mysqld, firebird-superserver, wp-admin)

Sinon il y a une solution "barbare" qui fonctionne si vous êtes le seul à vous connecté à distance en ssh au raspberry et que vous avez une ip fixe :
une règle soit par iptable soit par firewalld qui n'autorise qu'une seule ip (la votre) à se connecter en ssh.
en iptables :

Code : Tout sélectionner

iptables -A INPUT -p tcp -s VOTRE_IP_INTERNET --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 22 -j DROP

ou avec firewalld :

Code : Tout sélectionner

firewall-cmd --permanent --add-source=VOTRE_IP_INTERNET --zone=trusted
firewall-cmd --permanent --add-service=ssh --zone trusted
firewall-cmd --permanent --remove-service=ssh --zone-public

firewall-cmd --reload

Et une dernière option :
une combinaison de Allowusers et de Match Address sans sshd_config.

Pour moi, fail2ban est d'un grand secours :

Code : Tout sélectionner

Last failed login: Mon Jul 12 23:44:26 CEST 2021 from XXX.XX.XXX.XX on ssh:notty
There were 67 failed login attempts since the last successful login.
Last login: Mon Jul 12 22:05:40 2021 from XX.XXX.XXX.X

Code : Tout sélectionner

[pip@rpi ~]# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 2
|  |- Total failed:     2203
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 67
   |- Total banned:     407
   `- Banned IP list:   124.29.236.163 45.240.88.234 165.232.154.119 103.136.42.145 118.89.61.51 212.129.238.180 200.225.216.65 138.197.35.84 52.188.113.116 41.215.138.42 107.189.2.195 101.255.81.91 221.6.45.147 190.202.147.253 205.185.125.109 87.255.193.50 173.254.231.114 45.141.84.10 42.200.80.42 122.14.222.202 119.45.207.216 148.70.201.162 185.217.1.246 205.185.117.109 117.248.249.70 104.236.42.124 202.154.189.201 49.235.179.102 67.207.88.180 142.93.251.1 128.199.170.33 91.134.173.100 102.23.132.19 139.155.83.6 58.221.101.182 81.71.87.156 42.193.41.129 187.111.192.13 31.28.8.200 180.76.141.221 49.51.191.48 209.141.50.25 138.68.4.8 60.241.81.42 49.233.23.193 212.129.5.154 154.92.14.211 178.128.158.206 103.89.176.73 81.69.191.169 42.192.84.124 114.4.227.194 221.214.74.10 180.215.3.17 101.32.128.206 176.215.255.162 141.98.10.179 49.232.198.139 199.19.226.109 121.4.225.59 49.51.188.139 103.147.5.20 111.229.196.252 202.139.196.249 104.248.244.119 103.243.143.152 111.19.157.70

[dyox]

@piper : le port par défaut est tjs le 22 ? Parce qu'avec le user pi, on a déjà 2 infos sur 3

[thierryR]

Pas mal piper. C'est super intéressant. Et si on garde le port 22 on test facilement car les attaques ne manquent pas. Je regarde ça de plus près.
Si on supprime le user pi il ne faut pas oublier le group pi aussi.
( On va finir par développer un tuto "sécurité sur raspberry")

Dans l'attaque, le robot a fini par trouver un port qui était tantôt occupé tantôt libre. Il en a déduit que le passage était par là. Il avait donc trouvé mon IP et un port d'entrée. Ensuite il a beaucoup attaqué en tant que "root" et avec des mots de passe à gogo. Le fait d'avoir supprimé les mots de passe, m'ont bien aidé. Il a ensuite sorti des clés, puis un jour ( le 30 Avril 2021) plus rien. Aujourd'hui je constate des trous dans mes logs. Ça m'inquiète.

En examinant:

Code : Tout sélectionner

 sudo cat /var/log/fail2ban.log
2021-07-11 02:34:09,868 fail2ban.server         [498]: INFO    rollover performed on /var/log/fail2ban.log
2021-07-11 23:02:40,033 fail2ban.server         [499]: INFO    --------------------------------------------------
2021-07-11 23:02:40,036 fail2ban.server         [499]: INFO    Starting Fail2ban v0.10.2
2021-07-11 23:02:40,085 fail2ban.database       [499]: INFO    Connected to fail2ban persistent database '/var/lib/fail2ban/fail2ban.sqlite3'
2021-07-11 23:02:40,104 fail2ban.jail           [499]: INFO    Creating new jail 'sshd'
2021-07-11 23:02:40,205 fail2ban.jail           [499]: INFO    Jail 'sshd' uses pyinotify {}
2021-07-11 23:02:40,221 fail2ban.jail           [499]: INFO    Initiated 'pyinotify' backend
2021-07-11 23:02:40,224 fail2ban.filter         [499]: INFO      maxLines: 1
2021-07-11 23:02:40,373 fail2ban.server         [499]: INFO    Jail sshd is not a JournalFilter instance
2021-07-11 23:02:40,379 fail2ban.filter         [499]: INFO    Added logfile: '/var/log/auth.log' 
2021-07-11 23:02:40,399 fail2ban.filter         [499]: INFO      encoding: UTF-8
2021-07-11 23:02:40,401 fail2ban.filter         [499]: INFO      maxRetry: 3
2021-07-11 23:02:40,403 fail2ban.filter         [499]: INFO      findtime: 600
2021-07-11 23:02:40,404 fail2ban.actions        [499]: INFO      banTime: -1
2021-07-11 23:02:40,432 fail2ban.jail           [499]: INFO    Jail 'sshd' started
2021-07-11 23:02:40,612 fail2ban.actions        [499]: NOTICE  [sshd] Restore Ban 192.168.8.60
2021-07-11 23:02:40,843 fail2ban.utils          [499]: Level 39 76445ef8 -- exec: iptables -w -N f2b-sshd
iptables -w -A f2b-sshd -j RETURN
iptables -w -I INPUT -p tcp -m multiport --dports ssh -j f2b-sshd
2021-07-11 23:02:40,844 fail2ban.utils          [499]: ERROR   76445ef8 -- stderr: "iptables v1.8.2 (nf_tables): Chain 'f2b-sshd' does not exist"
2021-07-11 23:02:40,845 fail2ban.utils          [499]: ERROR   76445ef8 -- stderr: "Try `iptables -h' or 'iptables --help' for more information."
2021-07-11 23:02:40,846 fail2ban.utils          [499]: ERROR   76445ef8 -- returned 2
2021-07-11 23:02:40,846 fail2ban.actions        [499]: ERROR   Failed to execute ban jail 'sshd' action 'iptables-multiport' info 'ActionInfo({'ip': '192.168.8.60', 'family': 'inet4', 'ip-rev': '60.8.168.192.', 'ip-host': None, 'fid': '192.168.8.60', 'failures': 3, 'time': 1626037360.4326818, 'matches': '', 'restored': 1, 'F-*': {'matches': [], 'failures': 3, 'mlfid': ' raspi-sauvegarde sshd[1422]: ', 'user': 'test', 'ip4': '192.168.8.60'}, 'ipmatches': '', 'ipjailmatches': '', 'ipfailures': 3, 'ipjailfailures': 3})': Error starting action Jail('sshd')/iptables-multiport

Je vois qu'il y a des choses pas au point. Mais je ne m'y retrouve pas.

[piper]

Oui chaque service a un port par defaut.
Pour ssh c'est le 22.
Cependant on peut en changer, cela obmige juste a faire la modif cote server (ou box) et cote client.

Une fois je me suis un peu angoise pour un petit serveur à moi ne repondait plus en ssh et j'avais une mise a jour a faire.....j'avais oublie que j'avais mis le ssh en 2224 sur celui la. Et j'ai fait 50km pour rien pour le rebooter manuellement et perdu du temps a fouiller dans son parametrage pour decouvrir que le ssh ecouutait le 2224 !

Envoyé de mon SM-J710F en utilisant Tapatalk