/etc/ssh/sshd_config
.Quelques notes pour avoir un serveur fonctionnel. C'est basé sur la gamme Kimsufi chez OVH.
On va utiliser un préréglage déjà définie (workstation), il faut rajouter ces lignes dans le fichier /etc/rc.conf
.
[...] firewall_enable="YES" firewall_quiet="YES" firewall_type="workstation" firewall_allowservices="any" firewall_myservices="22/tcp 25/tcp 80/tcp 443/tcp" [...]
La dernière ligne permet l'ouverture de certains ports (il faut consulter le fichier /etc/services
, afin de connaître quels sont ces services).
On peut désormais activer ce parefeu :
service ipfw start
blacklistd(8) permet de bloquer le « brute force », pour SSH, il faut rajouter cette ligne dans le fichier /etc/rc.conf
1)
[...] sshd_flags="-o UseBlacklist=yes" [...]
Puis on rajoute ce démon supplémentaire
[...] blacklistd_enable="YES" blacklistd_flags="-r"
Les tentatives de connexion autorisées sont situées dans le fichier /etc/blacklistd.conf
.
Pour que ce démon sache que nous utilisons le parefeu ipfw, on va créer le fichier /etc/ipfw-blacklist.rc
echo "ifpw_offset=4000" > /etc/ipfw-blacklist.rc
On peut relancer (ou activer) les services qui en ont besoin.
service sshd restart service ipfw restart service blacklistd start
Au bout d'un certain temps, on peut « regarder » quelles sont les règles qui sont appliquées
ipfw show [...] 02022 385 22996 deny tcp from table(port22) to any 22 [...]
Si on a une ligne qui montre la présence d'une table, c'est que blacklistd(8) travaille, il a bloqué un attaquant !
On peut voir le contenu de cette table
ipfw table port22 list
Ou
blacklistctl dump -b
/etc/ssh/sshd_config
.