Forums FUG-FR - Print Page

Forums FUG-FR
https://forums.fug-fr.org/cgi-bin/yabb2/YaBB.pl FreeBSD >> Réseau et sécurité >> Force brute dans les jails https://forums.fug-fr.org/cgi-bin/yabb2/YaBB.pl?num=1198250761 Message started by Michel on 21. Dec 2007 at 16:26

Title: Force brute dans les jails
Post by Michel on 21. Dec 2007 at 16:26

Voila : j'ai une dedibox avec un certain nombre de jails. Immédiatement j'ai fait l'objet d'attaques multiples et nombreuses. Pour y remédier j'ai installé le port bruteforceblocker en conjonction avec pf mais si ce dispositif fonctionne bien sur le host il est complètement inefficace pour les jails.
Bruteforceblocker est activé à chaque inscription dans le fichier /var/log/auth.log et il utilise les informations contenues dans ce même fichier pour enrichir une table de pf.
Si il y a des inscriptions dans les fichiers auth.log des jails il n'y a pas d'activation du filtre du host et comme il ne m'est pas possible de contrôler pf depuis les jails je ne vois pas quoi faire.
Une piste ?

Title: Re: Force brute dans les jails
Post by francis on 21. Dec 2007 at 17:04

Peut-être une évidence, mais je tente: des passwords suffisamment difficiles à craquer ? Et plus de prise de tête pour pas grand'chose :-)
Et une variante: si tu peux établir une white list pour ton accès SSH, utilise hosts.access(5).

Title: Re: Force brute dans les jails
Post by Michel on 21. Dec 2007 at 17:34

Bon, mes identifiants ne sont pas dans le dictionnaire (même polonais) et mes passwords ont été générés par un logiciel fait pour. Oui mais avec BruteForceBlocker j'ai l'impression de faire partie "de la grande communauté de chasseurs de script-kiddy" !
Plus sérieusement l'activation de ce filtre provoque :
1 la recherche d'une black-list sur le site de bruteforceblocker
2 parser le fichier /var/log/auth.log
2 informer pf des nouvelles IP black-listées
4 communiquer en retour au site bruteforceblocker les IP détectées en local
... et le tout en perl.

En définitive je ne suis pas certain que dérouler autant d'instructions (y compris communication avec des sites distants) soit vraiement la bonne solution.
De là a laisser FreeBSD-6.2 se débrouiller tout seul comme un grand ....

Title: Re: Force brute dans les jails
Post by patrick on 22. Dec 2007 at 14:43

Michel wrote on 21. Dec 2007 at 16:26:

Si il y a des inscriptions dans les fichiers auth.log des jails il n'y a pas d'activation du filtre du host et comme il ne m'est pas possible de contrôler pf depuis les jails je ne vois pas quoi faire.
Une piste ?

Syslog peut accepter les logs d'autres machines. Tu peux demander au syslogd des jails de loguer dans le syslog de l'hôte ? Peut-être que ça marcherait ?