Bonjour,
j'ai mi en place le bruteforceblocker pour le service ssh mais j'ai une question à propos de la table à charger dans pf.conf

Il faut en fait ajouter une table dans pf.conf:
[code]table <bruteforce> persist file "/var/db/ssh-bruteforce"[/code]
J'ai rajouter la table dans la config de PF et rechargé PF

Mais que doit contenir le fichier /var/db/ssh-bruteforce ?

Je viens de comprendre il suffit d ele lancer et il récupère les ip du site distant.

Mais comment le lancer en tant que service ?

Le port n'a pas installé de script rc ? (cf. pkg_info(1))

fgudin wrote on 24. Sep 2007 at 12:36:

Le port n'a pas installé de script rc ? (cf. [url=http://www.freebsd.org/cgi/man.cgi?query=pkg_info&apropos=0&sektion=0&manpath=FreeBSD+6.2-RELEASE&form at=html]pkg_info(1)[/url])

Il installe le script rc que dans la version 1.0 mais pas dans la version 1.2.3

dans la version 1.0 il y a deux fichiers le bruteforceblocker.sh et le bruteforceblocker.pl
dans la version 1.2.3 il y a aussi deux fichiers bruteforceblocker.conf et le bruteforceblocker.pl mais pas de script de démarrage.

Mes ports sont à jour et il installe donc la version 1.2.3

Ce que je comprend pas c'est qu'il a renommer le fichier bruteforceblocker.pl en bruteforceblocker et il l'a mi dans /usr/local/sbin

Voici le fichier d'install du site:

[code]INSTALLATION

o) You will need to add a new table to the pf config file. You can do so
   by adding lines to the pf.conf similar to these:

table <bruteforce> persist file "/var/db/ssh-bruteforce"
block in log quick proto tcp from <bruteforce> to any port ssh

o) You will also need to add new line into your /etc/syslog.conf so it
   will look like this:

auth.info;authpriv.info            | exec /usr/local/sbin/bruteforceblocker

   - note that you should keep the original line, otherwise you will lose
     your sshd's logs - e.g. they will not be logged.

o) You should also consider starting syslogd with -c option.[/code]

Les deux premiers points ont été fait mais le 3ème point est un peu flou
You should also consider starting syslogd with -c option.

Il est dit que je dois démarrer le démon syslogd avec l'option -c
mais le démon syslogd est déjà démarré et il démarre avec ces options:
/usr/sbin/syslogd -l /var/run/log -l /var/named/var/run/log -s

Je viens de tester en lançant Bruteforceblocker manuelment et ça marche mais le problème c'est qu'il ne reste pas en arrière-plan, si je ferme la console, il s'arrête.
J'ai essayé en faisant un :

Code (]/usr/local/sbin/bruteforceblocker &[/code):

et un: [code]/usr/bin/perl   /usr/local/sbin/bruteforceblocker &

mais sans succès

nohup(1) :-)

dexinou wrote on 24. Sep 2007 at 13:12:

Il est dit que je dois démarrer le démon syslogd avec l'option -c mais le démon syslogd est déjà démarré et il démarre avec ces options: /usr/sbin/syslogd -l /var/run/log -l /var/named/var/run/log -s

Réflexe: paramètres sur un daemon de base -> jeter un oeil à /etc/defaults/rc.conf: tu peux ajouter dans ton /etc/rc.conf:
[code]syslogd_flags="-s -c"[/code]

fgudin wrote on 24. Sep 2007 at 14:21:

dexinou wrote on 24. Sep 2007 at 13:12: Il est dit que je dois démarrer le démon syslogd avec l'option -c mais le démon syslogd est déjà démarré et il démarre avec ces options: /usr/sbin/syslogd -l /var/run/log -l /var/named/var/run/log -s Réflexe: paramètres sur un daemon de base -> jeter un oeil à /etc/defaults/rc.conf: tu peux ajouter dans ton /etc/rc.conf: Code (]syslogd_flags="-s -c"[/code): C'est bon. mais apparemment depuis la version 1.1, BFB ne démarre plus en arrière-plan. http://danger.rulez.sk/projects/bruteforceblocker/CHANGELOG Car il utilise syslogd avec | exec /usr/local/sbin/bruteforceblocker mais j'ai un p"'tit problème car j'ai essayer delancer BFB en démon mais maintenant je n'arrive plus à faire un Kill <PID> [code]ps aux | grep bruteforceblocker root     56871  0,0  4,0 10748 10020  p1  T    14:13     0:02,11 /usr/bin/perl /usr/local/sbin/bruteforceblocker (perl5.8.8) kill 56871

Et rien ne se passe.

Comment le tuer ?

Arf.. man kill option -KILL ca devrais le faire ;)

[BSDf]Lenine wrote on 24. Sep 2007 at 15:06:

Arf.. man kill option -KILL ca devrais le faire ;)

ça marche
THX

Voilà c bon apparemment:


Code (]Sep 24 15:18:55 bsd sshd[57324):

: Invalid user toto from 213.251.133.XXX Sep 24 15:18:56 bsd BruteForceBlocker[57320]: adding b to the bruteforce table and firewall Sep 24 15:18:56 bsd BruteForceBlocker[57320]: blacklist synchronized with project site Sep 24 15:18:56 bsd BruteForceBlocker[57320]: 213.251.133.XXX was logged with total count of 1 failed attempts

Mais le b de:
adding b to the bruteforce table and firewall

ça fait référence à quoi ?

Puis les autres:

Code (]Sep 24 16:12:19 bsd BruteForceBlocker[57320):

: IP 88.191.28.XXX reached maximum number of failed attempts! Sep 24 16:12:19 bsd BruteForceBlocker[57320]: blocking 88.191.28.XXX/32 in pf table bruteforce. Sep 24 16:12:19 bsd BruteForceBlocker[57320]: sending email to root Sep 24 16:12:19 bsd BruteForceBlocker[57320]: Reporting 88.191.28.XXX to BruteForceBlocker project site

Et voici ce que ça affiche dans la console du petit pirate:
[code]ssh toto@ssh.domain.com
ssh: connect to host ssh.domain.com port 22: Connection refused[/code]

Merci pour tout   :)