vous qui avez monté un serveur ssh (qu'il soit microsoftien ou linuxien), vous avez du vous rendre compte que les attaques par bruteforce sont tres frequente.
j'ai cherché un moyen de bannir une IP apres un certain nombre d'essai de login raté en ssh sur un serveur cygwin.
 
je pars du principe que vous avez deja installé sshd en service, sinon allez faire un saut ici : http://flr.free.fr/spip/article.php?id_article=24
 
par defaut, sshd ne log rien (le saligo).
on edite donc la conf (/etc/sshd_config ou C:\cygwin\etc\sshd_config)
et on decommente ces deux lignes :

 
le probleme c'est que maintenant sshd log dans le journal des evenements windows et non pas dans /var/log/ comme on le souhaiterez...    
on va donc installer un deuxieme service : syslogd
 
ouvrez un term cygwin et tapez syslogd-config
repondez "yes" a la creation du fichier de config (/etc/syslog.conf)
repondez "yes" pour installer le service.
pour le demarrer, il suffit de faire un net start syslogd
 
voila, maintenant sshd loggera tout dans /var/log/messages et non plus dans le journal des evenements windows.
 
pour empecher l'acces a un host il existe le fichier /etc/hosts.deny qui contient la liste des IP qui n'ont pas le droit de se connecter.
 
il ne reste plus qu'a faire un script qui lis le fichier /var/log/messages et qui recherche les tentative d'intrusion et qui ecrit dans le fichier /etc/hosts.deny les ip qui font du bruteforce.
 
voici le script que j'ai ecris (a l'arrache en 3 minutes) en perl :

 
il ne reste plus qu'a le scheduler

Bonjour et merci de ce tutoriel ayant l'air très complet!
 
Euh ...Comment installer ce nouveau service : SYSLOGD?
 
Par ailleurs, je remarque que même étant l'admin sous windows et cygwin je ne peux pas écrire dans le fichier
C:\cygwin\etc\sshd_config. Je dois avoir préalablement certaines permissions sur ce repertoire?
 
Voilà j'en suis encore là.
 
Alors si qqu'un peut m'aider.
 
Merci.

Bonjour,
Perso, je suis arrivé à démarrer le service syslogd, et tout se logue dans /var/log/messages.
J'ai aussi créé le fichier host.deny (première ligne vide)
Mais je ne parviens pas à faire fonctionner le script bien que j'ai installé active-perl ainsi qu'un schedduler(rien ne se copie dans hosts.deny), et le flood va toujours bon train.  
Si quelqu'un a une idée...
Merci.

Il faudrait revoir le script. J'avais code ca en 3 minutes sur un coins de table. Je n'ai pas le temps de regarder pour le moment.. J'essairai plus tard.

pourquoi se prendre la tete avec un script ?.

il suffit d'utiliser iptables avec les regles suivantes :

/sbin/iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
/sbin/iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 -j DROP

et le tour est joué (les attaques par brute force peuvent continuer mais on ne peut se connecter que 3 fois en 300 secondes....)

cf le sujet :

http://forum.hardware.fr/hfr/OSAlt [...] 8574_1.htm

Ca c'est cool ladidonc...
Et pour windows (cygwin) ?

si tu installes cygwin, normalement tu peux installer iptables.
 
qd a une installation windows avec un serveur ssh (mais pas de type unix), là je pense qu'il faut filtrer via un firewall (genre outpost par exemple).

euhh, ca me semble bizzare ce que tu dis là.
iptable agit sur le kernel. hors sur cygwin, il n'y en a pas

Donc si je comprends bien, iptables ne peut être installé du fait que l'OS est windows et que Cygwin n'ait pas de kernel ; et quand au script, il ne fonctionne pas... Que faire?

Coder un script qui marche...

Honneur à celui qui a proposé le dit script...

au fait pourquoi se prendre la tete a empecher les tentatives par "brut forces" ?.
 
si je me rappelle bien, ssh pour fonctionner avec une authentification par clés public/privé  et dans ce cas il n'y a plus risque.
 

Hello petites infos de refresh pour les gens qui utilise Cygwin sous XP.
 
N'oubliez pas d'ajouter lors de l'install de cygwin : syslog
pour la version Cygwin 1.5.25 le nom exacte est syslog-ng
 
Après l'installation de cygwin :  
- installation du service syslog --> syslog-ng-config (répondre yes)
- net start syslog-ng (pour démarrer le service)
 
Et n'oubliez pas de dé-commentez les lignes dans sshd-config (comme préciser par psyjc :
SyslogFacility AUTH
LogLevel INFO
 
Chouette link pour installer Cygwin (en UK) fait par Nicholas Fong : il explique en détail la procédure d'install  
http://www.chinese-watercolor.com/ [...] -sshd.html
 
@++