fail2ban sshd et pf
Mon /var/log/auth.log est blindé de choses du genre :
Nov 18 17:56:27 lenine sshd[49297]: Invalid user marcio from 24.17.93.35 Nov 18 17:56:27 lenine sshd[49297]: error: PAM: authentication error for illegal user marcio from 24.17.93.35 Nov 18 17:56:27 lenine sshd[49297]: Failed keyboard-interactive/pam for invalid user marcio from 24.17.93.35 port 63330 ssh2 Nov 18 17:58:05 lenine sshd[49312]: Address 92.126.194.108 maps to alfa.navsystem.ru, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! Nov 18 17:58:05 lenine sshd[49312]: Invalid user marcio from 92.126.194.108 Nov 18 17:58:05 lenine sshd[49312]: error: PAM: authentication error for illegal user marcio from 92.126.194.108 Nov 18 17:58:05 lenine sshd[49312]: Failed keyboard-interactive/pam for invalid user marcio from 92.126.194.108 port 38920 ssh2
C'est une attaque classique par dictionnaire mais distribuée. Ma seule défense pour l'instant c'est mon parre feu qui bloquait les bruteforces un peu trop rapides. Alors même si pf en filtre quand même pas mal, les petits malins tournent sur plusieurs IPs pour faire un bruteforce moins visible.
J'ai donc décidé de bloquer le reste avec fail2ban, la conf par défaut n'est pas adapté à ma config, j'ai des besoin précis sur le filtre sshd et il faut que ça marche avec pf.
L'install est toujours aussi simple :
# make -C /usr/ports/security/py-fail2ban install
La conf est dans /usr/local/etc/fail2ban
En premier lieu, créer l'action pour pf :
action.d/pf.conf
[Definition] actionstart = actionstop = actioncheck = actionban = pfctl -t flood -T add <ip> actionunban = pfctl -t flood -T del <ip>
Comme vous voyez on va largement utiliser les tables pf, il y a donc quelques modifs à faire dans votre /etc/pf.conf :
# La table table <flood> persist # On laisse passer tout sauf les IP de <flood> pass in inet proto tcp from ! <flood> to $ext_if port ssh
Ensuite on modifie le filtre filter.d/sshd.conf :
[INCLUDES]
before = common.conf
[Definition]
_daemon = sshd
failregex = ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$
^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN ATTEMPT\s*$
ignoreregex =
Et on active le filtre dans jail.conf :
[ssh-pf]
enabled = true
filter = sshd
action = pf
sendmail-whois[name=SSH, dest=root@localhost, sender=noreply@localhost]
logpath = /var/log/auth.log
maxretry = 1
bantime = 86400
Ils sont bannis pour 1 jours (de quoi leur faire perdre beaucoup de temps). En prime pour chaque ban vous recevez le whois de l'IP concernée par mail.
Finalement on oublie pas de lancer fail2ban :
# echo fail2ban_enable=\"YES\" >> /etc/rc.conf # /usr/local/etc/rc.d/fail2ban start
Ce qui pourrait être intéressant c'est de choper automatiquement les adresses mail Abuse du whois pour envoyer un mail au FAI du méchant pour lui dire tout ce qu'on pense de son client. Mais bon, on ne va pas non plus faire de délation à la HADOPI.
Previous postDwm |
Next postSpamd ourgl |
Comments: 2
Bonjour!
Merci pour cet article, que je suis en train de mettre en application.
J'ai néanmoins une question (sûrement stupide):
Est-ce que les ajouts à pf.conf:
table <flood> persist pass in inet proto tcp from ! <flood> to $ext_if port ssh
viennent en complément de ce que vous aviez ajouté dans cet article, ou bien les remplaçent-elles?
table <ssh_abuse> persist block in quick on $ext_if proto tcp from <ssh_abuse> port ssh pass in inet proto tcp to any port ssh flags S/SA keep state \ (max-src-conn-rate 2/10, overload <ssh_abuse> flush global)
Merci !
Bonjour,
En fait les règles dans billet cité fonctionnent assez mal dans ce cas de bruteforcing distribué. Puis avec max-src-conn-rate 2/10 j'ai eu pas mal de problèmes avec des faux positifs notamment avec scp, il faut bien mesurer ce que ça implique, imaginons deux clients derrière la même passerelle (nat)... Personnellement je n'utilise plus de max-src-conn-rate pour ssh.
2