Vous utilisez ssh pour vous connecter à votre serveur ou PC depuis l'extérieur et donc vous avez ouvert via une règle NAT/PAT le port de votre box pour la rendre accessible depuis l'extérieur. Ou vous avez un serveur (dédié ou vps) que vous administrez en ssh.
Voilà quelques règles de base à respecter pour limiter les intrus tapant à votre porte…
Bien que fail2ban utilise des règles iptables, nous n'aborderons pas iptables ici. Mais il est conseillé d'avoir un parefeu en plus qui gère la totalité des connexions au serveur / PC.
Le numéro du port ssh modifié donné en exemple est bien sûr à adapter ;)
Sur le serveur
serveurProliant@serveur# nano /etc/ssh/sshd_config Port 22
changer en
Port 6789
(port : tous les ports non utilisés de 1024 à 65535)
Redémarrer le service SSH
serveurProliant@serveur# systemctl restart ssh
Dès lors pour se connecter , on précisera le numéro du port
serveurProliant@serveur# ssh login@serveur.ext -p 6789
Si Box / Routeur En local, rien de plus à faire. Reste maintenant à rediriger le port 22 de votre box au port 6789 de votre serveur/PC. Pour cela, section administration, et modifier la règle comme dans l'image ci-dessous (pour une livebox pro, mais sensiblement identique pour toutes les box). Supprimer la règle SSH si existante, demander une nouvelle règle avec les nouveaux numéros de ports.
Dès lors se connecter depuis l'extérieur
serveurProliant@serveur# ssh login@serveur.ext -p 6789
Sur le client :
serveurProliant@serveur$ ssh-keygen Your identification has been saved in /home/$USER/.ssh/id_rsa cat ~/.ssh/id_rsa.pub
Envoyer la clef au serveur
serveurProliant@serveur# cat ~/.ssh/id_rsa.pub | ssh login@serveur.ext -p 6789 “mkdir -p ~/.ssh && cat » ~/.ssh/authorized_keys”
Dès lors on se connectera avec le mot de passe du trousseau de clefs et non avec celui du compte ssh. Le mot de passe ssh ne transitera alors plus sur le réseau.
Lié inévitablement à l'étape précédente, on bloque les identifications par mot de passe et on accepte que celles via des trousseaux de clefs.
serveurProliant@serveur# nano /etc/ssh/sshd_config # Modifiez ou ajoutez la ligne suivante PasswordAuthentication no
Redémarrer le service ssh
serveurProliant@serveur# systemctl restart ssh
On définira ici que les utilisateurs qui ont le droit à se connecter en ssh.
Éditer le fichier de configuration
serveurProliant@serveur# nano /etc/ssh/sshd_config
Et rajouter la ligne suivante (par défaut, elle est absente)
AllowUsers nom_utilisateur_autorisé
(si plusieurs utilisateurs, les séparer par un espace)
Programme qui va analyser les logs (ssh, apache, nginx, ftp…) et rechercher les tentatives de connexions infructueuses afin de les bloquer/bannir (en ajoutant des règles au firewall). iptables). Il met donc “en prison” les services et va gérer leur connexion (les laisse passer ou les bannit)
Installer fail2ban
serveurProliant@serveur# apt-get install fail2ban
L'installer ne suffit pas, il faut dès lors, peaufiner sa configuration.
Configurer fail2ban pour ssh
$ cat /etc/fail2ban/jail.d/mon_serveur.conf [DEFAULT] findtime = 3600 bantime = 86400 maxretry = 3 [sshd] port = 6789 [sshd-ddos] port = 6789
Explications findtime : on regarde dans les archives de log sur une période de 1 heure (3600 secondes). Si vous mettez une valeur trop haute, vous risquez une charge système très importante… Si on trouve dans ces logs l'IP 3 fois mal identifiée (maxretry=3), on la bannit (ici 86400 secondes soit 1 journée).
Pendant donc une journée, cette IP sera donc rejetée automatiquement.
Mettez votre IP dans ignoreip !
Bien sûr, il est conseillé, si vous avez une IP fixe, d'ignorer cette règle sur cette IP (afin de vous éviter de mauvaises surprises (vous ne pourrez plus vous connecter si vous bous plantez…)) et d'ajouter cette directive dans la section [DEFAULT]. Faire de même bien sûr avec la boucle locale : 127.0.0.1
ignoreip = 127.0.0.1 123.45.67.89
(remplacé 123.45.67.89 par votre IP ou vos IPs (dans ce cas séparées par un espace)
Vérifier que la prison est bien effective
serveurProliant@serveur# fail2ban-client status Status |- Number of jail: 2 `- Jail list: sshd, sshd-ddos
Savoir si des IP ont été bannises
serveurProliant@serveur# fail2ban-client status sshd Status for the jail: sshd |- Filter | |- Currently failed: 0 | |- Total failed: 0 | `- File list: /var/log/auth.log `- Actions |- Currently banned: 41 |- Total banned: 41 `- Banned IP list: 103.110.89.148 103.85.18.99 109.110.52.77 111.223.73.20 122.195.200.148 153.36.236.35 153.36.240.126 153.36.242.114 159.65.144.233 159.65.7.56 163.172.106.114 164.132.225.250 167.99.200.84 167.99.75.174 176.31.253.55 180.250.183.154 180.96.14.98 181.99.48.120 183.131.82.100 183.131.82.99 187.60.97.209 190.119.190.122 192.168.1.10 193.32.163.182 200.0.236.210 206.189.197.48 206.248.181.122 210.206.179.221 222.76.119.165 23.101.133.58 46.105.244.1 5.135.223.35 51.75.247.13 52.172.44.97 54.39.196.199 61.216.15.225 73.144.161.209 83.147.102.62 87.99.77.104 91.134.227.180 92.91.60.249 serveurProliant@serveur# fail2ban-client status sshd-ddos Status for the jail: sshd-ddos |- Filter | |- Currently failed: 0 | |- Total failed: 0 | `- File list: /var/log/auth.log `- Actions |- Currently banned: 0 |- Total banned: 0 `- Banned IP list:
Bannir une IP manuellement
fail2ban-client set sshd banip 12.34.56.78
Débannir une IP manuellement
fail2ban-client set sshd unbanip 12.34.56.78
Voici un petit script à position sur un cron (ici envoyer 2 fois par jour) donnant le statut des jails.
sudo crontab -l [...] # Rapport de fail2ban 15 6,19 * * * /home/TOTO/scripts/fail2ban-status-ban.sh
Et le script
serveurProliant@serveur# cat fail2ban-status-ban.sh #!/bin/sh # Script de rapport fail2ban # Prend en compte tous les jails # dest=votre.login@domaine.ext msg=$(fail2ban-client status | sed -n 's/,//g;s/.*Jail list://p' | xargs -n1 fail2ban-client status); echo "$msg" | mail -s "Rapport Fail2ban De $(hostname -s) $(date)" $dest
Un autre script pour être notifié d'une connexion SSH sur son serveur (notification par mail ou par SMS (pour ceux ayant un forfait free, même à 2 €). Permet également dans la configuration par SMS d'ignorer une IP donnée (ou plusieurs) afin que le téléphone ne passe pas son temps à sonner.
serveurProliant@serveur# cd /etc/ssh/ ; ls moduli ssh_host_ecdsa_key ssh_host_ed25519_key.pub ssh_config ssh_host_ecdsa_key.pub ssh_host_rsa_key sshd_config ssh_host_ed25519_key ssh_host_rsa_key.pub
Dans ce répertoire, créer le script suivant, remplacer $DEST par votre mail.
serveurProliant@serveur# nano sshrc #!/bin/sh $DEST=votre.mail@domaine.ext DATE=$(date "+%d.%m.%Y--%Hh%Mm") IP=$(echo $SSH_CONNECTION | awk '{print $1}') REVERSE=$(dig -x $IP +short) MSG="Connexion de $(echo $USER) sur $(hostname -s) IP: $IP ReverseDNS: $REVERSE Date: $DATE" echo "$MSG" | mail -s "$(echo $DATE) : Connexion de $(echo $USER) sur $(hostname -s)" $DEST
Ce script doit appartenir à root mais être accessible en lecture à tous.
serveurProliant@serveur# ls -la ... -rw-r--r-- 1 root root 54 Jul 4 11:02 sshrc
On devra créer 3 fichiers (les deux derniers sont positionnés dans un répertoire /home/TOTO/scripts/ ; à adapter à votre configuration)
Pour des raisons de sécurité, le fichier send-notification-data.txt ne devra être lisible que par root, il contient les données d'identification free et les données nécessaires au script. Si vous ne souhaitez pas recevoir de notification depuis une ou des IP(s) précise(s), mettre cela dans la variable $IP_AUTHORIZED. La variable $DEST contient le mail de notification.
serveurProliant@serveur# cat send-notification-data.txt ## ## IP A AUTORISER SANS ALERTE SMS ## # Décommenter cette variable et saisir l'IP de connexion permise sans alerte # SMS. Si plusieurs IP, les séparer d'un espace IP_AUTHORIZED='12.345.67.890'; ## ## NOTIFICATION SMS ## # Login utilisateur / identifiant Free Mobile (celui utilisé pour accéder à # l'Espace Abonné) USER_LOGIN="123456789" # Clé d'identification (générée et fournie par Free Mobile via l'Espace Abonné, # "Mes Options" : https://mobile.free.fr/moncompte/index.php?page=options) API_KEY="aBcDeFgHiJkL" ## ## NOTIFICATION MAIL ## # Nom du destinaire de la notification par mail DEST=mon.mail@domaine.com
Adapter les droits, très important :
serveurProliant@serveur# chmod 600 send-notification-data.txt
serveurProliant@serveur# ls -la ... -rw------- 1 admin 1007 644 Jul 4 10:57 send-notification-data.txt On incluera ce fichier dans le script bash afin qu'on ne puisse pas lire son contenu.
Enfin le script
La fonction d'envoi via l'API de free est à l'origine ici : [ DUVERGIER Claude (http://claude.duvergier.fr) ] Modifiée pour les besoins.
serveurProliant@serveur# cat send-notification.sh #!/bin/sh # Données utilisateur . /home/admin/TOTO/send-notification-data.txt # ======================================================== DATE=$(date "+%d.%m.%Y--%Hh%Mm") IP=$(echo $SSH_CONNECTION | awk '{print $1}') REVERSE=$(dig -x $IP +short) MSG="Connexion de $(echo $USER) sur $(hostname -s) IP: $IP ReverseDNS: $REVERSE Date: $DATE" ## ## La fonction d'envoi SMS ## fctEnvoiSms() { # Script d'envoi de notification SMS via l'API Free Mobile # https://github.com/C-Duv/freemobile-smsapi-client # Auteur:v # modification crust@crust.ovh readonly PROGNAME=$(basename $0) readonly PROGDIR=$(readlink -m $(dirname $0)) usage_error () { echo "ERROR: ${1}" >&2 echo "" usage_help exit 1 } usage_help () { echo "Possible usages:" echo "* ${PROGNAME} [options] [message]" echo "* echo \"All your base are belong to us\" | ${PROGNAME} [options]" echo "" echo "Options:" echo "* -c file specify configuration file" echo "* -h display this help" } CONFIG_FILE="" while getopts "c:h" option; do case "$option" in c) CONFIG_FILE=${OPTARG} ;; :) usage_error "Invalid arguments" ;; h) usage_help ; exit 0 ;; esac done shift $((OPTIND-1)) ## ## Configuration système ## # Caractère de fin de ligne # (http://en.wikipedia.org/wiki/Percent-encoding#Character_data) NEWLINE_CHAR="%0D" # Valeurs possibles : %0A, %0D et %0D%0A # URL d'accès à l'API SMSAPI_BASEURL="https://smsapi.free-mobile.fr" # Action d'envoi de notification SMSAPI_SEND_ACTION="sendmsg" # Texte qui sera ajouté AVANT chaque message envoyé MESSAGE_HEADER="$(date "+%d.%m.%Y--%Hh%Mm"): " # Texte qui sera ajouté APRÈS chaque message envoyé MESSAGE_FOOTER=" -- $(hostname -s)" ## ## Fichier de configuration ## if [ -n "${CONFIG_FILE}" ]; then if [ -e "${CONFIG_FILE}" ]; then . "${CONFIG_FILE}" else echo "ERROR: Configuration file \"${CONFIG_FILE}\" does not exists." >&2 exit 2 fi else if [ -e "${PROGDIR}/.freemobile-smsapi" ]; then . "${PROGDIR}/.freemobile-smsapi" elif [ -e "${HOME}/.freemobile-smsapi" ]; then . "${HOME}/.freemobile-smsapi" fi fi ## ## Vérifications des paramètres requis ## if [ -z "${USER_LOGIN}" ] \ || [ -z "${API_KEY}" ] \ || [ -z "${SMSAPI_BASEURL}" ] \ || [ -z "${SMSAPI_SEND_ACTION}" ] \ ; then echo "ERROR: Either USER_LOGIN, API_KEY, SMSAPI_BASEURL or " \ "SMSAPI_SEND_ACTION is not set" >&2 exit 2 fi ## ## Traitement du message ## MESSAGE_TO_SEND="" if [ "${1}" ]; then # Message en tant qu'argument de la ligne de commande MESSAGE_TO_SEND="${1}" else # Message lu de STDIN while read line do MESSAGE_TO_SEND="${MESSAGE_TO_SEND}${line}\n" done MESSAGE_TO_SEND=${MESSAGE_TO_SEND%"\n"} # Retire le dernier saut de ligne fi # Assemble header, message et footer FINAL_MESSAGE_TO_SEND="${MESSAGE_HEADER}${MESSAGE_TO_SEND}${MESSAGE_FOOTER}" ## ## Appel à l'API (envoi) ## # echo "Will send the following to ${USER_LOGIN}:" #DEBUG # echo "${FINAL_MESSAGE_TO_SEND}" #DEBUG # Converts newlines to $NEWLINE_CHAR FINAL_MESSAGE_TO_SEND=$(\ echo -n "${FINAL_MESSAGE_TO_SEND}" | \ sed '{:q;N;s/\n/'${NEWLINE_CHAR}'/g;t q}'\ ) # echo "Newline encoded message:" #DEBUG # echo "${FINAL_MESSAGE_TO_SEND}" #DEBUG # Particularités de l'appel de curl et la/les options associées : # * Renvoi le code réponse HTTP uniquement : # --write-out "%{http_code}" --silent --output /dev/null # HTTP_STATUS_CODE=$(\ curl \ --write-out "%{http_code}" \ --silent \ --output /dev/null \ --get "${SMSAPI_BASEURL}/${SMSAPI_SEND_ACTION}" \ --data "user=${USER_LOGIN}" \ --data "pass=${API_KEY}" \ --data "msg=${FINAL_MESSAGE_TO_SEND}" \ ) # Codes réponse HTTP possibles # 200 : Le SMS a été envoyé sur votre mobile. # 400 : Un des paramètres obligatoires est manquant. # 402 : Trop de SMS ont été envoyés en trop peu de temps. # 403 : Le service n'est pas activé sur l'espace abonné, ou login / clé # incorrect. # 500 : Erreur côté serveur. Veuillez réessayez ultérieurement. if [ "${HTTP_STATUS_CODE}" -eq 200 ]; then # echo "API responded with 200: exiting with 0" #DEBUG exit 0 echo "Error: API responded with ${HTTP_STATUS_CODE}" else exit 1 fi } ## ## ENVOI SMS / MAIL ## # QUOI QU'IL EN SOIT ON ENVOIE UN MAIL echo "$MSG" | mail -s "$(echo $DATE) : Connexion de $(echo $USER) sur $(hostname -s)" $DEST # GESTION DES IP AUTORISEES / SMS if echo "$IP" | egrep $IP_AUTHORIZED ; then echo "MATCH NO SEND SMS"; else fctEnvoiSms "Connexion SSH de $(echo $USER) ; IP : $(echo $IP)" fi
Enfin on colle tu cela dans le script de connexion ssh
serveurProliant@serveur$ cat /etc/ssh/sshrc #!/bin/sh . /home/TOTO/scripts/send-notification.sh > /dev/null
Après tout cela, vous devriez à a voir quelque chose qui tient la route… Par contre, un iptable en toile de fond reste bien sûr nécessaire….