Mon PC perso est un serveur SSH: c'est parfois pratique
pour r�cup�rer un fichier au lyc�e, travailler en ayant
tous mes fichiers sous la main, ou bien pour �changer
(discr�tement) des fichiers avec des amis. Mon PC est
accessible seulement si on conna�t l'IP. Je suis r�guli�rement
"attaqu�" par des tentatives de login avec des login du genre
webadmin, test, root, nouser etc...
Je pense, bien sur, qu'il s' agit de programmes qui lancent une
demande de connexion SSH au hasard avec des logins "standards"
et qui quand ils voient que cette IP accepte les connexions
SSH essayent des variantes... Ces attaques ne sont pas
massives donc pas de probl�mes pour moi...
Comme je sais que ce forum est fr�quent� par quelques
administrateurs syst�mes la question est simple: existent
t'ils encore des gens qui utilisent webadmin, nouser etc...
comme login? Il me semble que robert comme login est
plus sur que webadmin si robert est l'administrateur web
non? Avec un password (c'est l'�tape suivante...) idiot
(0000, 1234 etc...) ou bien ces robots ne font que parasiter
la bande passante?
Autre question: si j'essaye ssh logininexistant@chezmoi on me
demande un mot de passe. Le couple (login/password) est transmis
en une seul fois? Sinon l'ordinateur chezmoi devrait r�pondre
logininexistant d�gage tu n'existes pas il me semble... (idem avec
root: connexion impossible mais on me demande un mot de passe).
Sur ce point un mauvaise configuration de mon PC n'est pas
exclue...
Tanguy
> Bonjour,
'lut,
> Comme je sais que ce forum est fr�quent� par quelques
> administrateurs syst�mes la question est simple: existent
> t'ils encore des gens qui utilisent webadmin, nouser etc...
> comme login?
Disons que dans la masse de scan �a doit marcher.
(moi j'utilise root / toor)
> Autre question: si j'essaye ssh logininexistant@chezmoi on me
> demande un mot de passe. Le couple (login/password) est transmis
> en une seul fois? Sinon l'ordinateur chezmoi devrait r�pondre
> logininexistant d�gage tu n'existes pas il me semble... (idem avec
> root: connexion impossible mais on me demande un mot de passe).
> Sur ce point un mauvaise configuration de mon PC n'est pas
> exclue...
Ce n'est pas un bug c'est une feature, ainsi tu ne peux pas d�terminer
si c'est le login ou le mot de passe qui est incorrect.
Tu est mieux protᅵgᅵ avec Windows
Le port 22 est fermᅵ
L'utilisateur "root" est inexistant
Terminal Server est supᅵrieur en tout point ᅵ une session remote X, ca
permet de travailler
--
P4nd1-P4nd4 vous salue, et annonce que le petit ourson possᅵde
dᅵsormais son blog
p4nd1-p4nd4.over-blog.com
> Tu est mieux protᅵgᅵ avec Windows
>
C'est la raison pour laquelle les antivirus reprᅵsentent les meilleurs
ventes sur cet "OS"
> Le port 22 est fermᅵ
>
Il y en avait tant d'autres ouverts avant le SP2 de XP.
> L'utilisateur "root" est inexistant
C'est bien lᅵ le problᅵme de toutes les merdes qui peuvent s'installer
impunᅵment.
--
Utiliser le butineur, le courriᅵleur, le lecteur de nouvelles
et le SE avec lesquels vous vous sentez le plus sᅵcurisᅵ ... ;)
Posted via www.individual.net
http://mdoucet.wordpress.com/
Non.
> Le port 22 est fermé
>
Le monsieur te dit qu'il utilise SSH, qui, par défaut, utilise le port
22, et donc, l'ouvre. T'es vraiment complètement con: quelqu'un qui
n'utilise pas un sshd et/ou ne l'a pas activé au boot n'aura pas son
port 22 ouvert. De plus, il est tout à fait possible d'utiliser un autre
port que le 22, et c'est d'ailleurs conseillé.
> L'utilisateur "root" est inexistant
>
Normal, tous les utilisateurs de windows se loggent en administrateur.
(ceci est un pur trollage moisi comme les tiens, basé sur du FUD: un
utilisateur raisonnable de windows ne se logge pas en admin, mais se
logge sur un compte utilisateur normal - tout comme un utilisateur de
linux ne se logge jamais en root, mais ça, c'est par *défaut*)
De plus, il est conseillé, sous SSH (et c'est normalement activé par
défaut dans la conf') d'interdire les connexions en root. Tu es vraiment
complètement ignare.
> Terminal Server est supérieur en tout point à une session remote X, ca
> permet de travailler
>
Mwarf! quel ignorant.
Salut, alors normalement dans ton sshd_config, tu peux changer le port
utilisé par sshd (ligne "Port" tout simplement :) ). Je te conseille un
port au dessus de 10000 (mais même 1024 devrait suffire), la majorité
des script kiddies utilisant nmap avec les options de scan de base soit
les 1024 premiers ports, si je me rappelle bien.
Alternativement, si tu utilises une box genre freeboite/liveboite/etc,
tu peux router un port entrant (genre 25674) sur le port 22 de ta
machine, voire sur le port xxxxx de ton sshd. Tu devrais avoir moins de
boulets essayant de se logger chez toi.
De plus, normalement PermitRootLogin a pour valeur no, par défaut (ou
est commenté et donc désactivé par défaut).
Et pour peaufiner le tout, tu peux aussi utiliser fail2ban en
conjonction avec iptables, pour bannir les petits comiques au bout de X
tentatives.
En espérant que ça t'aide :)
>Tu est mieux prot�g� avec Windows
D�bile
>Le port 22 est ferm�
D�bile
>L'utilisateur "root" est inexistant
D�bile
>Terminal Server est sup�rieur en tout point � une session remote X, ca
>permet de travailler
D�bile
--
France-Irlande
J'ai pas honte d'�tre francaise, mais j'aimerai �tre fier en laissant notre place � l'Irlande.
C'est une question d'honneur
Mais je ne me fais aucune illusion. J'esp�re que l'equipe qui a vol� le match soit humili� et rentre la t�te baiss�.
http://www.youtube.com/watch?v=ekxsmPnHWSA
Vous avez vraiment des rᅵflexions aussi stupides que fielleuses. Vous
qui ᅵtes trᅵs fort, vous allez expliquer comment arrᅵter l'installation
d'un programme malveillant si l'utilisateur lui-mᅵme en est ᅵ l'initiative ?
>> Le port 22 est fermᅵ
>>
> Il y en avait tant d'autres ouverts avant le SP2 de XP.
Lesquels ?
>> L'utilisateur "root" est inexistant
> C'est bien lᅵ le problᅵme de toutes les merdes qui peuvent s'installer
> impunᅵment.
>
Le problᅵme, c'est votre esprit malsain, obsessionnel et bouffi de
suffisance qui vous fait colporter des ragots depuis des annᅵes.
(...)
> Le probl�me, c'est votre esprit malsain, obsessionnel et bouffi de
> suffisance qui vous fait colporter des ragots depuis des ann�es.
Il manque au moins "troll", "international", et "oreilles d'�ne".
Vous pourriez faire attention, quoi.
--
Olivier
> Tu est mieux protᅵgᅵ avec Windows
>
> Le port 22 est fermᅵ
>
> L'utilisateur "root" est inexistant
>
> Terminal Server est supᅵrieur en tout point ᅵ une session remote X, ca
> permet de travailler
Encore tout plein de conneries
> Vous qui
> ᅵtes trᅵs fort, vous allez expliquer comment arrᅵter l'installation d'un
> programme malveillant si l'utilisateur lui-mᅵme en est ᅵ l'initiative ?
Sans commentaires, avoir l'initiative d'installer un programme
malveillant ? Ah oui ces petits programmes que MS installe ᅵ votre insu
pour vᅵrifier que vous ᅵtes bien dans la ligne de la secte ?
Ben oui, avec tes 42 antivirus, spywares, malwares, bloatwares etc ...
Pis faut pas oublier, on patche une fois par mois sous windows, oᅵ tous
les 7 ans, ᅵa dᅵpends...
> Le port 22 est fermᅵ
>
C'est vrai, sous Windows, on utilise Telnet, qui tout le monde le sait,
est un gage de sᅵcuritᅵ (Mots de passe en clair, toussa ...)
> L'utilisateur "root" est inexistant
>
C'est vrai. Sous Windows, on est Administrateur.
Utilisateur qui ne peut rien faire du systᅵme, parce que le fichier est
en cours d'utilisation, mais qui donne tout les droits ᅵ toutes les
saloperies qui trainent ...
> Terminal Server est supᅵrieur en tout point ᅵ une session remote X, ca
> permet de travailler
>
Travailler en Terminal Server, faut ᅵtre sacrᅵment con... Ou panda.
>>> L'utilisateur "root" est inexistant
>> C'est bien lᅵ le problᅵme de toutes les merdes qui peuvent s'installer
>> impunᅵment.
>>
> Le problᅵme, c'est votre esprit malsain, obsessionnel et bouffi de
> suffisance qui vous fait colporter des ragots depuis des annᅵes.
Parler de suffisance d'autrui quand on dᅵfend branli branla s'appelle
insuffisance intellectuelle dans votre cas.
> Travailler en Terminal Server, faut ᅵtre sacrᅵment con... Ou panda.
Faut ᅵtre encore plus con de ne pas utiliser cette fonction lorsqu'elle
est est incluse dans toutes les versions de Windows "Pro"
A cᅵtᅵ, l'export de X sonne le glas du ridicule, et malheureusement,
n'en meurt pas (encore...)
Qui t'a dit que l'OP veut exporter X?
Sinon, en effet, tu es ridicule :)
Il faudrait aussi qu'il explique en quoi l'export Xest "ridicule"
> Sinon, en effet, tu es ridicule :)
Il n'a pas besoin de �a pour l'�tre.
> dans sa bulle obsessionnel
Dans vos propos, ces terme sont du plus haut comique ...
> Vous ᅵtes tellement stupide que vous ne pouvez raisonner qu'en noir et
> blanc, en obsᅵdᅵ monomaniaque engoncᅵ dans la certitude des extrᅵmistes
> persuadᅵs de dᅵfendre le bien contre le mal.
vous vous trompez d'interlocuteur, branli branla apprᅵciera.
Faudrait que vous m'expliquiez pourquoi les gens ach�tent des antivirus alors que, d'apr�s vous il leur suffirait de faire gaffe o_O
Tiens, une intelligence sup�rieure.
> Michel Doucet a ᅵcrit :
>> Bonjour/soir, le Sun, 06 Dec 2009 17:34:21 +0100, *Averelll* a caressᅵ
>> son clavier pour nous dire dans le message suivant:
>>
>>> dans sa bulle obsessionnel
>>
>> Dans vos propos, ces terme sont du plus haut comique ...
>>
> Cessez de tourner dans votre cage monsieur le censeur.
Cessez de vous rendre ridicule, vous n'avez donc aucun honneur ?
> Cessez de vous rendre ridicule, vous n'avez donc aucun honneur ?
C'est sans doute un mot qui ne figure pas dans son dictionnaire, s'il en
a un ᅵvidemment.
Analogie invalide. Le d�tecteur de fum�e n'est pas l� parce que
l'usager habituel ds locaux peut �tre pris par une pulsion pyromane
incontr�lable. Dans ce cas pr�cis le d�tecteur ne sert � rien.
Idem, quand le luser installe n'importe quoi sur sa machine son premier
r�flexe est de d�sactiver l'antivirus. Si on poursuit l'analogie,
il y a des antivirus, c'est qu'il y a risque de contamination � l'insu
de l'utilisateur. S'il n'y en a pas les antivirus ne servent � rien,
un verrou est plus efficace.
et c'est ainsi (en d�sactivant leur antivirus ou lorsque l'antivirus
n'est pas mis � jour) que des utilisateurs arrivent � infecter leur
machine, cela ne signifie pas que les antivirus ne soient pas utiles
dans la majorit� des cas. Mais si vous voulez continuer � ergoter, ergotez.
> et c'est ainsi (en dᅵsactivant leur antivirus ou lorsque l'antivirus
> n'est pas mis ᅵ jour) que des utilisateurs arrivent ᅵ infecter leur
> machine, cela ne signifie pas que les antivirus ne soient pas utiles
> dans la majoritᅵ des cas.
>
Quoi ? le meilleur "OS" du monde a besoin d'un antivirus ? C'est vrai que
lorsqu'on voit que MS a fait son propre antivirus (Microsoft Security
Essential") ... les utilisateurs sont en droit d'avoir une confiance
aveugle en cet "OS", les moutons restent des moutons.
> Mais si vous voulez continuer ᅵ ergoter, ergotez.
>
La vᅵritᅵ n'est pas belle ᅵ voir ... hein ... le dᅵfenseur de
l'indᅵfendable.
Nous sommes bien d'accord que l'antivirus *dans ce cas de figure*
ne sert pas � grand chose.
> cela ne signifie pas que les antivirus ne soient pas utiles
> dans la majorit� des cas.
C'est juste ce que je voulais vous faire dire :o)
> Mais si vous voulez continuer � ergoter, ergotez.
Non, non c'est inutile. Les antivirus �tant utile, nous sommes bien d'accord
que windows est un syst�me vuln�rablei(*), et qu'en plus de l'achat de la licence windows, il faut se taper l'achat d'un antivirus et l'installation d'un antitrojan etc.
Depuis le temps qu'on vous lit ... Vous ne dᅵpassez guᅵre les dix mots
de vocabulaire. Vous n'avez donc que ᅵa a foutre de votre temps que
rᅵpondre encore et toujours les mᅵme choses ᅵ M.D ?
Au moins forcez vous :
http://www.crisco.unicaen.fr/cgi-bin/cherches.cgi
Cela ᅵgaiera vos ᅵcritures.
... et la rᅵponse ᅵ la 1ᅵre partie concernant MSE est ?
>> Non, non c'est inutile. Les antivirus ᅵtant utile, nous sommes bien
>> d'accord que windows est un systᅵme vulnᅵrablei(*), et qu'en plus de
>> l'achat de la licence windows, il faut se taper l'achat d'un antivirus
>> et l'installation d'un antitrojan etc.
> Mais cela n'a rien ᅵ voir avec le systᅵme, si on installe un programme
> prᅵvu pour polluer, il polluera.
Disons que le systᅵme en question n'est pas suffisamment intrinsᅵquement
robuste pour pouvoir se passer d'un anti-virus.
Un peu comme une passoire aurait besoin de se faire boucher les trous
pour pouvoir servir de casserole.
On doit bien pouvoir trouver d'autres analogies avec l'automobile mais ma
collec' de points Jacky est dᅵjᅵ bien fournie.
--
@+
Doug - Linux user #307925 - Slackware64 roulaize ;-)
[ Plus ou moins avec une chance de peut-ᅵtre ]
Qu'est-ce que vous ne comprenez pas dans <<vous allez expliquer comment
arrᅵter l'installation d'un programme malveillant si l'utilisateur
lui-mᅵme en est ᅵ l'initiative ?>> ?
Par quel miracle, dans votre monde imaginaire, Linux pourrait se
dᅵfendre contre un virus ᅵcrit pour lui ?
> aveugle en cet "OS", les moutons restent des moutons.
et une fois de plus vous vous permettez d'insulter des centaines de
millions d'utilisateurs.
>> Mais si vous voulez continuer ᅵ ergoter, ergotez.
>>
> La vᅵritᅵ n'est pas belle ᅵ voir ... hein ... le dᅵfenseur de
> l'indᅵfendable.
>
La vᅵritᅵ, c'est votre image de mᅵdiocre prᅵtentieux.
La <<robustesse intrinsᅵque>> d'un systᅵme, cela n'a pas de sens. Tout
systᅵme tombe si on y installe un programme prᅵvu pour le faire tomber.
La seule diffᅵrence, c'est que le systᅵme majoritaire sont la cible
privilᅵgiᅵe des fournisseurs de virus.
> Un peu comme une passoire aurait besoin de se faire boucher les trous
> pour pouvoir servir de casserole.
Analogie totalement inadaptᅵe.
C'est M.D qui pisse toujours la mᅵme chose.
> Qu'est-ce que vous ne comprenez pas dans <<vous allez expliquer comment
> arrᅵter l'installation d'un programme malveillant si l'utilisateur
> lui-mᅵme en est ᅵ l'initiative ?>> ?
>
Que l'utilisateur est con ?
> Par quel miracle, dans votre monde imaginaire, Linux pourrait se
> dᅵfendre contre un virus ᅵcrit pour lui ?
>
Comment aurait-i avoir les droits root ? L'UAC a ᅵtᅵ fait pour se
dᅵfendre contre les attaques malveillantes ... la plupart des MVP
conseille de le dᅵsactiver ! Pour une fois MS avait une une bonne idᅵe.
> > aveugle en cet "OS", les moutons restent des moutons.
>
> et une fois de plus vous vous permettez d'insulter des centaines de
> millions d'utilisateurs.
Quantitᅵ ne signifie pas qualitᅵ et 90% des acheteurs MS en vente liᅵe et
forcᅵe sont des Mme Michu.
C'est vrai qu'en temps d'utilisateur MS vous avez la science infuse.
>> Depuis le temps qu'on vous lit ... Vous ne dᅵpassez guᅵre les dix mots
>> de vocabulaire. Vous n'avez donc que ᅵa a foutre de votre temps que
>> rᅵpondre encore et toujours les mᅵme choses ᅵ M.D ?
>
> C'est M.D qui pisse toujours la mᅵme chose.
Je pisse, c'est naturel, vous, vous vomissez votre bile ᅵ mon ᅵgard,
c'est un signe de maladie.
(soupir)
>> Par quel miracle, dans votre monde imaginaire, Linux pourrait se
>> dᅵfendre contre un virus ᅵcrit pour lui ?
>>
> Comment aurait-i avoir les droits root ? L'UAC a ᅵtᅵ fait pour se
> dᅵfendre contre les attaques malveillantes ... la plupart des MVP
> conseille de le dᅵsactiver ! Pour une fois MS avait une une bonne idᅵe.
>
Vous ne pouvez rien installer sur Linux ?
>> > aveugle en cet "OS", les moutons restent des moutons.
>>
>> et une fois de plus vous vous permettez d'insulter des centaines de
>> millions d'utilisateurs.
>
> Quantitᅵ ne signifie pas qualitᅵ et 90% des acheteurs MS en vente liᅵe et
> forcᅵe sont des Mme Michu.
>
Quelle quantitᅵ vous autorise ᅵ insulter des millions d'utilisateurs ?
Depuis quand ls antivirus prot�gent des (soft)bombes ? J'hallucine. On cause de la *n�cessit�* d'installer un antivirus .
> La seule diff�rence, c'est que le syst�me majoritaire sont la cible
> privil�gi�e des fournisseurs de virus.
La diff�rence c'est qu'un virus sans privil�ge, m�me si son
payload est un soft-bomb ne causera que des d�g�tslimit�s
et que les failles de scurit� r�sultant en une escalade de
privil�ge sont le plus souvent corrig�es dans les heures qui
suivent leur d�couverte, de m�e que celles qui permettent
d'ex��cuter du code arbitraire, qu'il n'y a pas deux machines
semblables au niveau de la s�curit�, m�me issues de la m�me
distribution ou de plus les failles ne sont jamais corrig�es en temps
r�el.
>> Un peu comme une passoire aurait besoin de se faire boucher les trous
>> pour pouvoir servir de casserole.
>
> Analogie totalement inadapt�e.
�a ne suffit pas de le dire, il faut argumenter un minimum. L'analogie
me semble tr�s bonne au contraire
C'est un cas o� l'antivirus le plus cher du monde ne sert � rien.
Depuis quand ls antivirus prot�gent des (soft)bombes ? J'hallucine. On cause de la *n�cessit�* d'installer un antivirus .
> La seule diff�rence, c'est que le syst�me majoritaire sont la cible
> privil�gi�e des fournisseurs de virus.
La diff�rence c'est qu'un virus sans privil�ge, m�me si son
payload est un soft-bomb ne causera que des d�g�tslimit�s
et que les failles de scurit� r�sultant en une escalade de
privil�ge sont le plus souvent corrig�es dans les heures qui
suivent leur d�couverte, de m�e que celles qui permettent
d'ex��cuter du code arbitraire, qu'il n'y a pas deux machines
semblables au niveau de la s�curit�, m�me issues de la m�me
distribution, sauf � Redmond o� de plus les failles ne sont jamais
corrig�es en temps r�el.
>> Un peu comme une passoire aurait besoin de se faire boucher les trous
>> pour pouvoir servir de casserole.
>
> La <<robustesse intrinsᅵque>> d'un systᅵme, cela n'a pas de sens. Tout
> systᅵme tombe si on y installe un programme prᅵvu pour le faire tomber.
> La seule diffᅵrence, c'est que le systᅵme majoritaire sont la cible
> privilᅵgiᅵe des fournisseurs de virus.
Bah tiens, v'la t'y pas que Windows est la victime maintenant.
On ne parle pas ici du nombre de virus mais de la facilitᅵ avec laquelle
il possible d'en produire un qui soit un efficaceᅵ.
>> Un peu comme une passoire aurait besoin de se faire boucher les trous
>> pour pouvoir servir de casserole.
>
> Analogie totalement inadaptᅵe.
Pas tout ᅵ fait, MS vous vend un OS comme SEB vous vend une cocotte
minute mais contrairement ᅵ SEB dont la cocotte fonctionne "out of the
box", celle de MS (qui est 2 fois plus cher) nᅵcessite qu'on renforce soi
mᅵme le joint du couvercle.
Cette comparaison est tout ᅵ fait pertinente et fonctionne avec n'importe
quel autre systᅵme (au hasard MacOSX) face ᅵ celui de MS.
ᅵ Qui soit suffisamment plantogᅵne _et_ d'infecter les autres systᅵmes ᅵ
sa portᅵe.
>> Comment aurait-i avoir les droits root ? L'UAC a ᅵtᅵ fait pour se
>> dᅵfendre contre les attaques malveillantes ... la plupart des MVP
>> conseille de le dᅵsactiver ! Pour une fois MS avait une une bonne idᅵe.
>>
> Vous ne pouvez rien installer sur Linux ?
Si et ce que *je veux* contrairement ᅵ un autre "OS".
> Michel Doucet a ᅵcrit :
>> Bonjour/soir, le Sun, 06 Dec 2009 20:16:40 +0100, *Averelll* a caressᅵ
>> son clavier pour nous dire dans le message suivant:
>>
>>>> Depuis le temps qu'on vous lit ... Vous ne dᅵpassez guᅵre les dix
>>>> mots de vocabulaire. Vous n'avez donc que ᅵa a foutre de votre temps
>>>> que rᅵpondre encore et toujours les mᅵme choses ᅵ M.D ?
>>> C'est M.D qui pisse toujours la mᅵme chose.
>>
>> Je pisse, c'est naturel, vous, vous vomissez votre bile ᅵ mon ᅵgard,
>> c'est un signe de maladie.
>>
> C'est naturel pour *vous* de pisser partout sur des centaines de
> millions d'utilisateur.
pas utilisateurs, pigeons, obligᅵs de payer le SP3 de Vista appelᅵ Seven.
Ce que vous voulez comme ce que voudrait un programme ᅵcrit pour.
CQFD
Et encore un propos persifleur. Vous ᅵtes dᅵcidᅵment totalement
indᅵcrottable.
> contrairement ᅵ un autre "OS".
>
Et encore un propos persifleur dont vous avez le secret, des annᅵes
d'expᅵrience. Vous ᅵtes dᅵcidᅵment totalement indᅵcrottable.
>>> C'est naturel pour *vous* de pisser partout sur des centaines de
>>> millions d'utilisateur.
>>
>> pas utilisateurs, pigeons, obligᅵs de payer le SP3 de Vista appelᅵ
>> Seven.
>>
> et encore un persiflage d'obsessionnel. Vous ᅵtes en guerre sainte du
> fond de votre dᅵlire.
En franᅵais, dᅵlire et vᅵritᅵ sont deux mots diffᅵrents.
� propos d'obsession, vous ne craignez pas que l'absence de
vari�t� de votre registre risque de mettre en �vidence
les v�tres ?
>>> Vous ne pouvez rien installer sur Linux ?
>>
>> Si et ce que *je veux*
>
> Ce que vous voulez comme ce que voudrait un programme ᅵcrit pour. CQFD
>
J'installe et de *maniᅵre sᅵre* les programmes qui me sont nᅵcessaires et
rien d'autre ne vient me perturber (ni virus, malware, spyware, ver, ...)
> Et encore un propos persifleur. Vous ᅵtes dᅵcidᅵment totalement
> indᅵcrottable.
>
A part les pirates, comment refuser l'installation de WGA ?
> > contrairement ᅵ un autre "OS".
> Et encore un propos persifleur dont vous avez le secret, des annᅵes
> d'expᅵrience. Vous ᅵtes dᅵcidᅵment totalement indᅵcrottable.
Voir ci-dessus
>> Et encore un propos persifleur. Vous ᅵtes dᅵcidᅵment totalement
>> indᅵcrottable.
>>
> A part les pirates, comment refuser l'installation de WGA ?
>
Quel rapport avec les virus sinon que cela vous permet de persifler une
fois de plus ?
>> > contrairement ᅵ un autre "OS".
>
>> Et encore un propos persifleur dont vous avez le secret, des annᅵes
>> d'expᅵrience. Vous ᅵtes dᅵcidᅵment totalement indᅵcrottable.
>
> Voir ci-dessus
>
J'ai vu, totalement indᅵcrottable !
>> J'installe et de *maniᅵre sᅵre* les programmes qui me sont nᅵcessaires
>> et rien d'autre ne vient me perturber (ni virus, malware, spyware, ver,
>> ...)
>>
> Vous ᅵtes vraiment dᅵcourageant de niaiserie, vous ne comprenez rien ᅵ
> ce qu'on vous dit et continuez dans votre dᅵlire.
En franᅵais, niaiserie et rᅵalitᅵ sont deux mots diffᅵrents.
> ceci est un pur trollage moisi comme les tiens, basé sur du FUD: un
> utilisateur raisonnable de windows ne se logge pas en admin, mais se
> logge sur un compte utilisateur normal
je n'en ai jamais croisé qui le fasse sciemment (ie : sans y être obligé
par l'administrateur du domaine ou de la machine)
Cessez de cracher, vocifᅵrer et pestifᅵrer, Monsieur Doucet
Vous allez bientᅵt recevoir votre piqure
(Ahh, j'entends des pas..)
--
P4nd1-P4nd4 vous salue, et annonce que le petit ourson possᅵde
dᅵsormais son blog
p4nd1-p4nd4.over-blog.com
> pas utilisateurs, pigeons, obligᅵs de payer le SP3 de Vista appelᅵ Seven.
Que diable, vos morpions refusent de vous laisser dormir ce soir ?
Votre persiflage est ᅵ la hauteur des attentes que vous crᅵer parmis
vos amis: La fuite
>> Comme je sais que ce forum est fréquenté par quelques
>> administrateurs systèmes la question est simple: existent
Non ici c'est plutôt les trolls.
>> t'ils encore des gens qui utilisent webadmin, nouser etc...
>> comme login? Il me semble que robert comme login est
>> plus sur que webadmin si robert est l'administrateur web
>> non? Avec un password (c'est l'étape suivante...) idiot
>> (0000, 1234 etc...) ou bien ces robots ne font que parasiter
>> la bande passante?
En général l'attaque est menée par une machine déjà compromise, donc
oui, ça doit exister...
>> Autre question: si j'essaye ssh logininexistant@chezmoi on me
>> demande un mot de passe. Le couple (login/password) est transmis
>> en une seul fois? Sinon l'ordinateur chezmoi devrait répondre
>> logininexistant dégage tu n'existes pas il me semble... (idem avec
>> root: connexion impossible mais on me demande un mot de passe).
Il est généralement considéré comme une faille le fait de pouvoir
deviner les logins existants sans accès légitime à la machine.
> Salut, alors normalement dans ton sshd_config, tu peux changer le port
> utilisé par sshd (ligne "Port" tout simplement :) ). Je te conseille un
> port au dessus de 10000 (mais même 1024 devrait suffire), la majorité
Je recommanderai plutôt l'usage de mots de passe forts, voire quand
c'est possible, la désactivation du login par mot de passe.
Mettre sur un autre port que 22, c'est de la fausse sécurité.
> des script kiddies utilisant nmap avec les options de scan de base soit
> les 1024 premiers ports, si je me rappelle bien.
Tu te rappelles mal. nmap sans option scanne les ports courants :
Starting Nmap 5.00 ( http://nmap.org ) at 2009-12-06 23:37 CET
Warning: Hostname localhost resolves to 2 IPs. Using 127.0.0.1.
Interesting ports on localhost (127.0.0.1):
Not shown: 993 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
111/tcp open rpcbind
631/tcp open ipp
3306/tcp open mysql
8010/tcp open xmpp
8080/tcp open http-proxy
# netstat -tlp
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 *:37231 *:* LISTEN 1506/rpc.statd
tcp 0 0 *:sunrpc *:* LISTEN 1495/portmap
tcp 0 0 *:http-alt *:* LISTEN 12923/vlc
tcp 0 0 localhost:7634 *:* LISTEN 1854/hddtemp
tcp 0 0 *:ssh *:* LISTEN 2110/sshd
tcp 0 0 localhost:ipp *:* LISTEN 1816/cupsd
tcp 0 0 localhost:smtp *:* LISTEN 2414/exim4
tcp 0 0 localhost:6010 *:* LISTEN 18831/1
tcp 0 0 *:45439 *:* LISTEN -
tcp 0 0 localhost:mysql *:* LISTEN 2566/mysqld
tcp 0 0 *:8010 *:* LISTEN 27370/kopete
> Alternativement, si tu utilises une box genre freeboite/liveboite/etc,
> tu peux router un port entrant (genre 25674) sur le port 22 de ta
> machine, voire sur le port xxxxx de ton sshd. Tu devrais avoir moins de
> boulets essayant de se logger chez toi.
Ce sont des attaques automatisées, le but étant généralement de prendre
la main sur des serveurs web pour y mettre son phishing ou son spam par
pagerank. Parfois du contenu illicite.
> De plus, normalement PermitRootLogin a pour valeur no, par défaut (ou
> est commenté et donc désactivé par défaut).
> Et pour peaufiner le tout, tu peux aussi utiliser fail2ban en
> conjonction avec iptables, pour bannir les petits comiques au bout de X
> tentatives.
Avec un mot de passe digne de ce nom, fail2ban ne sert qu'à ne pas
pourrir les logs.
--
Vincent Riquer
BOFH excuse #233:
TCP/IP UDP alarm threshold is set too low.
> Cessez de cracher, vocifᅵrer et pestifᅵrer, Monsieur Doucet
>
> Vous allez bientᅵt recevoir votre piqure
T'as qu'ᅵ le plonker si ᅵa fais pas ton affaire. De plus, entendre ᅵa de
quelqu'un fait du FUD sur ce forum du matin au soir, ᅵa pourrait presque
ᅵtre rigolo si ce n'ᅵtait pas si pathᅵtique.
> Que diable, vos morpions refusent de vous laisser dormir ce soir ?
>
> Votre persiflage est ᅵ la hauteur des attentes que vous crᅵer parmis
> vos amis: La fuite
Voilᅵ qu'on a Averell2 maintenant. C'est le bouquet.
Merci: j'ignorai ce point. C'est vrai que comme �a c'est plus sur...
Tanguy
Bien d'accord avec toi: vaut mieux utiliser des mots de passe costauds,
ou comme tu le dis, désactiver le login par mot de passe.
> Mettre sur un autre port que 22, c'est de la fausse sécurité.
>
Là aussi, tu n'as pas tort. Cependant sur mes dédiés, le fait d'utiliser
un port différent a sérieusement réduit le nombre de tentatives de login
frauduleux.
>
> Tu te rappelles mal. nmap sans option scanne les ports courants :
>
Au temps pour moi, je viens de vérifier, et en effet, je me rappellais
mal :)
Merci de m'avoir rafraîchi la mémoire ;)
>
> Ce sont des attaques automatisées, le but étant généralement de prendre
> la main sur des serveurs web pour y mettre son phishing ou son spam par
> pagerank. Parfois du contenu illicite.
>
Là aussi, tout à fait d'accord. Cependant ces attaques automatiques sont
en général assez basiques, comme le faisait remarquer Tanguy: ils
utilisent la faille entre la chaise et le clavier. M'étonnerait que
Tanguy utilise un login/password genre webadmin/1234. On en revient
d'ailleurs à ton premier conseil: utiliser des mots de passe costauds
(personnellement, un mix de chiffres, lettres, caractères
alphanumériques)
> Là aussi, tu n'as pas tort. Cependant sur mes dédiés, le fait d'utiliser
> un port différent a sérieusement réduit le nombre de tentatives de login
> frauduleux.
Tout a fait, c'est basique, mais ca permet d'eviter 99.99% des attaques
automatiques.
En terme de sécurité, c'est très con, mais c'est à toi de voir. Si
tu ne veux pas être emmerdé, il y a des choses bien plus fiables :
knockd, fail2ban, des règles iptables ou fp, bref, des trucs qui ne
reposent pas sur le fait de se cacher. Pour un certain nombre de
raisons, j'ai une machine qui utilise un port ssh non standard,
bizarrement, ce port est attaqué par des tentatives de connexion sur
le sshd.
JKB
--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
> Tu est mieux protᅵgᅵ avec Windows
prouve-le
> Le port 22 est fermᅵ
pourquoi fermer le port si le service est absent ?
> L'utilisateur "root" est inexistant
c'toi l'inexistant.
> Terminal Server est supᅵrieur en tout point ᅵ une session remote X, ca
> permet de travailler
qui a parle de remote X ?
parce qu'il y a des versions non pro ?
Tout à fait d'accord, il ne suffit pas de se "cacher" comme tu dis.
Personnellement, un port non standard, un login et un mot de passe assez
balaises, fail2ban et les règles iptables qui vont bien, les rares
attaques que je subis ne vont pas bien loin. Après, je ne suis pas un
pro non plus, je passe sûrement à côté de petits détails qui sont
certainement importants. Je vais d'ailleurs regarder de plus près knockd
cet après midi, les joies des RTTs :)
Tu peux aussi rajouter un honeypot, c'est très efficace ;-)
Parce qu'il y a des versions PRO ?
ᅵa se saurait ...
Vous r�pondez � "Averelll" qui a visiblement en effet un pet au casque.
J'y avais pensé: j'hésite entre honeyd et me faire une solution "à la
main" avec une machine virtuelle, que me conseillerais-tu?
Sinon, merci pour knockd, installé, configuré, ça marche du tonnerre,
vraiment pratique ce petit soft, ça sécurise en effet pas mal l'accès :)
Honneyd sans hésiter. C'est moins lourd et ça ramasse plein de
trucs.
> Sinon, merci pour knockd, installé, configuré, ça marche du tonnerre,
> vraiment pratique ce petit soft, ça sécurise en effet pas mal l'accès :)
JKB
En bannissant les attaquants ?
/me pense que toute cette discussion aurait �t� en charte sur
fr.comp.securite
Merci du conseil, je m'en vais tester tout ça :)
Cool, je vais pas m'emmerder cet après midi gnhéhéhé!
Honeyd ne bannit rien. Il donne de l'occupation, c'est différent ;-)
> /me pense que toute cette discussion aurait été en charte sur
> fr.comp.securite
Aussi...
En terme de securite, ca permet juste d'eviter les robots automatiques.
C'est a dire 99.99% des attaques qui gavent les logs et chargent les
serveurs.
En terme de securite c'est absolument inutile contre le 0.01% qui reste,
mais un acces root desactive, une passerelles SSH independante et des
mots de passe compliques font le reste.
>
> Averelll a utilisᅵ son clavier pour ᅵcrire :
>> Michel Doucet a ᅵcrit :
>>> Bonjour/soir, le Sun, 06 Dec 2009 22:26:22 +0100, *Averelll* a caressᅵ
>>> son clavier pour nous dire dans le message suivant:
>>>
>>>>> J'installe et de *maniᅵre sᅵre* les programmes qui me sont
>>>>> nᅵcessaires et rien d'autre ne vient me perturber (ni virus,
>>>>> malware, spyware, ver, ...)
>>>>>
>>>> Vous ᅵtes vraiment dᅵcourageant de niaiserie, vous ne comprenez rien
>>>> ᅵ ce qu'on vous dit et continuez dans votre dᅵlire.
>>>
>>> En franᅵais, niaiserie et rᅵalitᅵ sont deux mots diffᅵrents.
>>>
>> Vous ᅵtes parti en boucle, une faᅵon d'ᅵtourdir le peu de discernement
>> qui pourrait encore survivre ᅵ vos obsessions monsieur le censeur.
>
> Cessez de cracher, vocifᅵrer et pestifᅵrer, Monsieur Doucet
>
> Vous allez bientᅵt recevoir votre piqure
>
> (Ahh, j'entends des pas..)
Windows vous joue encore des tours, vous ᅵtes en train de rᅵpondre au
maᅵtre de Rantanplan !
C'est surtout très chiant, avec ssh qui prend l'option -p et scp qui
prend l'option -P...
Moi j'aime quand c'est simple : j'ouvre ma session, ça me demande le mot
de passe pour déverrouiller ma clé privée, ensuite je fais ssh <machine>
et ça roule (avec le resolv.conf au poil).
L'informatique est avant tout un métier de fainéant.
J'ai poussé le vice jusqu'à avoir un paquet debian qui met directement
ma clé publique là où il faut (en m'asseyant allègrement sur la debian
policy).
--
Vincent Riquer
BOFH excuse #87:
Password is too complex to decrypt
Je vais certainement raconter une connerie, mais l'authentification
par clef, ça marche bien lorsque tu as ta clef dans le répertoire
qui va bien du client. Quand tu es contraint de te connecter depuis
une machine d'un client comme ça m'arrive très souvent, comment
fais-tu ? (l'option 'je me trimbale avec une clef USB contenant ma
clef SSH' ne tient pas)
man ssh_config
Puis rajoute dans ton .ssh/config
Host machintruc
Port XXXX
Elle est pas belle, la vie ?
--
Bruno Ducrot
-- Which is worse: ignorance or apathy?
-- Don't know. Don't care.
Tu pleures parce qu'un keylogger a chop� ton mot de passe.
J'attends une réponse _sérieuse_.
La r�ponse est tout � fait s�rieuse�: tu ne peux pas esp�rer de la s�curit�
si tu acceptes d'utiliser des machines en lesquelles tu ne peux pas avoir
confiance. M�me ta clef SSH sur une clef USB �a ne marche pas�: rien ne te
dit que le client SSH ne va pas exp�dier une copie de la clef � quelqu'un.
J'attends une réponse et non une pirouette. La question initiale est
"comment prendre la main sur une machine à distance" ?
heuuu... you're screwed ?
Depuis ton portable.
Non. Lorsque j'interviens dans certaines boîtes, je suis prié de
venir les mains dans les poches. Je n'ai pas l'autorisation d'ouvrir
un quelconque portable.
Eh bien dans ce cas tu n'acc�des pas non plus � une machine de l'ext�rieur,
c'est tout.
Ca existe un moyen de generer une cl� et de l'envoyer par mail pour
l'utiliser 1 seule fois sur une machine dont on a pas confiance ?
J'explique ce que je faisait sous windows avec un bureau
distant/VNC/RemotelyAnywhere.
Je generai une premiere fois un mot de passe (oui je sais, c'est pas
une cl�). Ce mot de passe etait envoy� par SMS/mail sur mon telephone
portable. Quand j'avais besoin de me connecter sur mon PC maison
depuis l'exterrieur, j'utilisais ce mot de passe. S'il y avait coupure
ou fin de session, le mot de passe etait remplac� et le nouveau etait
envoy� par SMS/mail dans la minute qui suivait.
S'il existe un moyen de faire la m�me chose avec double cl� sous linux
(SSH) je suis preneuse.
--
France-Irlande
J'ai pas honte d'�tre francaise, mais j'aimerai �tre fier en laissant notre place � l'Irlande.
C'est une question d'honneur
Mais je ne me fais aucune illusion. J'esp�re que l'equipe qui a vol� le match soit humili� et rentre la t�te baiss�.
http://www.youtube.com/watch?v=ekxsmPnHWSA
Je ne crois pas qu'il existe de syst�mes de clefs � usage unique, mais des
syst�mes de mot de passe � usage unique, �a existe.
Mais �a n'a qu'une fiabilit� limit�: si le pirate veut y mettre les moyens,
il peut utiliser la session que tu viens d'ouvrir pour se laisser entrer.
C'est intelligent comme réponse.
Je ne vois pas en quoi cela semble impossible :
Si on part du principe que tu as d�ja (Usb, mail ou autre) la cl� te
permettant la premi�re connexion :
1) Tu te connectes en ssh
2) Lors de ta d�connexion, le shell ex�cute .bash_logout
Dans ce batch, tu peux lui dire :
- Il d�truit les anciennes cl�s + authorized_keys
- Il g�n�re une nouvelle paire de cl�s
- Il te les mail (Tu peux m�me crypter PGP)
- Il recopie la cl� (id_xxx.pub) > authorized_keys
Et c'est reparti pour un tour ...