Comment bloquer certaines IP sur votre serveur
Par Korben le 29 janvier 2010 | Nb visites : 824
Vous le savez, je suis une méga star internationale de l’univers inter galactique de mon petit bureau à la maison 
, et comme tous les gens qui s’exposent un peu publiquement comme je le fais avec le blog, j’ai parfois quelques blaireaux issus d’une manipulation génétique de sécrétion de morpion qui tentent des petites choses sur mon serveur adoré Ça peut aller d’insultes permanentes (et avec des fautes svp !) dans les commentaires à l’attaque (ou tentative d’attaque) type hacking (ciblée ou non, au travers de bots).
La routine me direz-vous… Mais comme j’ai un vrai métier et très peu de temps à consacrer à ces hyènes sociopathes, j’ai tout simplement mis en place un petit filtrage par iptable qui je pense vous servira si vous êtes dans le même cas que moi.
Donc voici comment filtrer quelques IPs sur votre serveur, histoire d’éviter de vous prendre la tête en cas d’attaque de bot et soulager vos serveur le temps que ces blaireaux apprennent à lire et à se servir d’un VPN ou d’un proxy (ou rebootent leur livebox pour changer d’ip ). Attention tout de même, si quelqu’un veut vraiment vous nuire, cela ne vous protègera en rien. Il faudra alors simplement collecter quelques preuves (piratage ou diffamation) et aller porter plainte chez votre contractuelle la plus proche )))
Allez, c’est parti ! Tout d’abord, vous devez installer iptable :
sudo apt-get install iptables
ensuite, créez vous une petite blacklist dans votre répertoire personnel (faites preuve d’imagination dans le nom du fichier) :
sudo nano /home/manu/mesamislesblaireaux.ips
A l’intérieur, à vous de placer à la suite les adresses IPs de vos plus grands admirateurs :
#Chef des blaireaux
xxx.xxx.xxx.xxx
#Sous chef des blaireaux
xxx.xxx.xxx.xxx
#Fils de blaireau
xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
#La mère du blaireau
xxx.xxx.xxx.xxx
Vous l’aurez compris, j’ai masqué volontairement les IPs mais c’est pour vous expliquer. Remplacez les xxx.xxx.xxx.xxx par un vrai truc…
Sauvegardez le fichier et créez ensuite le script suivant dans /etc/init.d/block (que j’ai chopé chez nixCraft comme indiqué dans l’entête)
#!/bin/bash # Simple iptables IP/subnet block script # ------------------------------------------------------------------------- # Copyright (c) 2004 nixCraft project # This script is licensed under GNU GPL version 2.0 or above # ------------------------------------------------------------------------- # This script is part of nixCraft shell script collection (NSSC) # Visit http://bash.cyberciti.biz/ for more information. # ---------------------------------------------------------------------- IPT=/sbin/iptables SPAMLIST="spamlist" SPAMDROPMSG="SPAM LIST DROP" BADIPS=$(egrep -v -e "^#|^$" /home/manu/mesamislesblaireaux.ips) # create a new iptables list $IPT -N $SPAMLIST for ipblock in $BADIPS do $IPT -A $SPAMLIST -s $ipblock -j LOG --log-prefix "$SPAMDROPMSG" $IPT -A $SPAMLIST -s $ipblock -j DROP done $IPT -I INPUT -j $SPAMLIST $IPT -I OUTPUT -j $SPAMLIST $IPT -I FORWARD -j $SPAMLIST
En précisant bien le chemin d’accès à cette ligne (BADIPS=$(egrep -v -e « ^#|^$ » /home/manu/mesamislesblaireaux.ips)) vers votre fichier de liste d’IPs. Ce script intégrera votre liste dans iptable et ce dernier signalera dans votre fichier de log /var/log/messages le passage de vos b3st fri3ndz de l4 lif3. Si vous ne voulez pas de log, supprimez simplement la ligne : $IPT -A $SPAMLIST -s $ipblock -j LOG –log-prefix « $SPAMDROPMSG »
Rendez le script exécutable avec un petit
chmod +x /etc/init.d/block
Ainsi, le script sera lancé à chaque redémarrage de votre serveur. C’est important car iptables ne garde pas les ips en mémoire en cas de reboot.
Lancez ensuite le script à la mano, avec les privilèges nécessaires (sudo ?) et vous devriez voir vos règles de filtrage être prises en compte par iptables. Pour vérifier qu’effectivement, celles-ci sont bien présentes dans le système, un simple
sudo iptables -L
fera l’affaire.
Les gens malhonnêtes ou scripts kiddies n’auront alors plus accès à rien sur votre serveur. Ils ne pourront même plus le pinger ! Il existe bien sûr quelques dizaines de méthodes pour contourner ce blocage mais ça peut dépanner en cas de grosse attaque subite par un bot. A utiliser quand même avec parcimonie (avec qui ??) car bon, on n’est pas en Chine non plus, mais ça vous évitera quelques crash serveurs en cas d’attaque venant de loin (ou pas).
[photo]
Je vous recommande aussi la lecture des sujets suivants
- Faire une capture écran d’une zone sous Linux (Ubuntu)
- Comment mettre le cache de Firefox dans la mémoire RAM
- Faire une capture écran avec Ubuntu
- Trouver les plus gros fichiers de votre disque dur sous Linux
- Installer eCrypt sous Ubuntu 8.04
- Comment surveiller ce qui se passe sur votre ordinateur pendant votre absence (Linux)
- Plowshare – Télécharger en ligne de commande sur Megaupload, Rapidshare et d’autres…
- Désinstaller proprement l’alpha d’Adobe Air pour mieux installer la beta
- Desinstaller PulseAudio d’Ubuntu
- Comment pirater Home sur Playstation 3 et supprimer les publicités
Cyril
Sympa,
Y’a deux jours justement je me suis fait attaqué par un méchant Allemand qui essayait « d’injecter un shellcode » (je ne suis pas un pro de la sécu).
Un ptit coup de iptables -A INPUT –source xxx.xxx.xxx.xxx -j DROP
Pour une seule IP ca suffit bien, mais quand il y en a (aura ?) plusieurs, la technique du script qui appelle le fichier sera plus pratique.
Posté le 29 janvier 2010 à 14:36:53
citoyenlambda
en intermédiaire tu as aussi le mail abuse des opérateurs des gens qui auront tenté de hacker ton serveur (ils n’attaquent pas tous à partir de pc zombies).
Posté le 29 janvier 2010 à 14:38:55
citoyenlambda
Pour la saint Valentin tu pourrais aussi customiser le script pour ajouter une good ip et lui envoyer une page de love pendant 1 minute avant d’atterir sur ton blog…
Posté le 29 janvier 2010 à 14:43:28
Ronan
Ou une bonne bande passante, et la même bloqué …
Posté le 29 janvier 2010 à 14:43:33
Maethor
C’est très mignon comme technique, mais il faut quand même garder à l’esprit que chez de nombreux fournisseurs d’accès (neuf/sfr, pour n’en citer qu’un), l’IP est dynamique, et change à chaque redémarrage de la box (voire toutes les 24h…). L’idée c’est que quand on change d’IP, on fait quoi si on se retrouve avec une IP bloquée et qu’on peut plus accéder à notre site préféré ? … Ah… eh oui… c’est ballot.
Bon, mais chui d’accord, dans l’immédiat ça reste la meilleure défense contre les bot (même si ces bots sont malheureusement sur des PC Windows de parfaits pigeons innocents qui risquent de pas piger pourquoi ils ont des sites qui marchent plus…). Faut juste l’utiliser avec parcimonie, et penser à mettre la date en commentaire pour pouvoir faire le ménage de temps en temps…
Posté le 29 janvier 2010 à 14:43:39
Korben
@Maethor: oui bien sûr. Mais les ips non fixes sont de plus en plus rare, ça limite les risques
@citoyenlambda: pas bête le coup du petit coeur
Posté le 29 janvier 2010 à 14:46:24
Mout
@Korben:
Sérieux les IP dynamiques disparaissent ???
Je ne savais pas, je pensais que toutes les box étaient dynamiques !
+1 Pour une page de love pour tes admirateur !
Posté le 29 janvier 2010 à 14:53:02
Cyril
Au fait,
Sans avoir cherché (pas tapper !), iptables est capable de filtrer des IPV6 ? Vu que ca va bientôt arriver en masse…
Posté le 29 janvier 2010 à 14:53:59
Korben
@Mout: Free c’est une ip statique… Et je cros qu’ils ne sont pas les seuls
Posté le 29 janvier 2010 à 14:56:43
kitten13
Un peu reloue ta méthode cela peut ce faire via 2 ou 3 règles dans le .hatccess,
j’avais poster un tuto ici http://forum.webrankinfo.com/bannir-les-escrocs-interdire-les-visiteurs-certains-pays-t113189.html.
d’autre et nouvelle technique existe sur tout pour les box, je le mettrais bientôt a jour
Posté le 29 janvier 2010 à 15:00:00
Sn4kY
juste pour info (vous pouvez faire le test) votre adresse IP risque de ne pas changer au reboot de la box. Dans le pire des cas, vous oscillerez sur une poignée d’IP. Pourquoi ? une box étant allumé en quasipermanance, très peu de chance pour qu’au moment où votre IP soit libérée quelqu’un d’autre de votre DSLam viennent en réclamer une..Du coup, vous aurez probablement la même IP.
Posté le 29 janvier 2010 à 15:00:06
Joe
Un bon vieux Fail2ban pour se protéger des gros allemands/chinois, c’est toujours utile.
Merci pour le tuto tout de même
Posté le 29 janvier 2010 à 15:00:30
Philippe Buschini
Une alternative à la manipulation d’IPTable en direct est d’installer Shorewall et de mettre les IP à éliminer dans le fichier blacklist… Shorewall est très souple dans son paramétrage, il permet par exemple de blacklister des utilisateurs de manière temporaire (en heures ou jours) ou définitive en fonction de leurs actions (genre scan de port…).
Ca s’installe en 10 mn sur tout bon Linux (www.shorewall.net) correctement paramétré et c’est Open Source quoi demander de plus…
Philippe
@pbuschini
Posté le 29 janvier 2010 à 15:01:06
Sn4kY
@Cyril : oui, iptables6 est là pour ça (il me semble que le package s’appelle comme ça)
@Kitten13 : le htaccess n’est pas sans failles, et ne protège en rien contre les attaques sérieuses. Il protège juste contre les visiteurs indésirables sur le site en question (mais pas sur l’@IP du serveur)
@Korben : qui te fait des misères cette fois ?
Posté le 29 janvier 2010 à 15:02:39
Gilou
Bon petit rappel!!!!
J’utilise les iptables depuis un petit moment, et autant dire qu’en 5 ans j’ai jamais eu de mauvaises surprises… tout est verrouillé
Je me permets de vous proposer deux petites commandes bien pratiques :
# iptables-save > iptables.conf (pour sauvegarder toute sa config)
# iptables-restore < iptables.conf (pour restaurer sa config)
Posté le 29 janvier 2010 à 15:04:04
Avish
@kitten13:
lol ouai mais bon si c’est du flood, tu l’as dans l’os
mdr
@Korben:
C’est pas installé de base iptable ?
@citoyenlambda:
Honeypot powa
Posté le 29 janvier 2010 à 15:04:56
Deadeye
@Mout:
la freebox est statique depuis longtemps.
sinon un petit /24 a la fin de l’IP et tant pis pour les dommages collatéraux. ^^
Posté le 29 janvier 2010 à 15:05:19
Baron
je te conseil un petit fail2ban aussi, facilement configurable sur debian/ubuntu pour le ssh et on peut ensuite le configurer pour apache aussi et d’autres services. Il permet de rajouter des adresses ip dans iptables dés qu’il pense qu’elle sont mal intentionnées.
Posté le 29 janvier 2010 à 15:07:07
Foxrider
En ce qui concerne Free, c’est IP statique à coup sur. Serveur a la maison qui tourne derrière la freebox et j’ai redirigé le nom de domaine sur l’ip de la freebox et jamais eu de problème de changement d’IP
Pour les autres box, no idea mais je pense que ca doit être le cas un peu partout
Posté le 29 janvier 2010 à 15:07:54
kitten13
@Kitten13 : le htaccess n’est pas sans failles, et ne protège en rien contre les attaques sérieuses. Il protège juste contre les visiteurs indésirables sur le site en question (mais pas sur l’@IP du serveur)
T’appelle quoi comme attaque serieuse ? Le htccess est largement suffisant, ta pas un site comme celui du fbi par exemple donc pas la peine d’etre parano.
( Il protège juste contre les visiteurs indésirables sur le site en question (mais pas sur l’@IP du serveur) )
Il protège contre toute les ip en générale que ce soit bot/visiteurs, celui du server cela incombe a ton hébergeur de te fourni une presta sécurisé il me semble.
Posté le 29 janvier 2010 à 15:08:14
Maethor
Sn4kY et Korben, je vous assure que mon IP change à chaque fois que la box redémarre, même si ça dure une fraction de seconde (micro-coupures éléctriques…). Par contre elle reste effectivement dans une plage d’IP… mais bon, je vois pas en quoi ça change quoique ce soit au problème, dans la plage en question y’a surement pas que des distributions linux sans botnet
Ce problème concerne tout les clients Neuf/Sfr quand même, Numéricable pareil… et Orange aussi je crois. En fait, c’est un peu pour ça que je me tue à dire que Free est le meilleur FAI… (mais c’est une autre discussion ça…). C’est pour ça que la technique est bonne si on fait du nettoyage de temps en temps… Après évidement, si le problème revient avec une IP que t’avais déjà bloqué… là tu peux considérer que c’est le chef des méchants
Autre chose, vous pouvez remplacer la première ligne #!/bin/bash par #!/bin/sh, c’est plus POSIX
(quoique si vous êtes sur une debian basique, ça change rien…).
Posté le 29 janvier 2010 à 15:09:33
Shahor
Euh, pardon si je dis une bêtise mais si tu veux que ton script se lance automatiquement il faut plutôt l’ajouter aux run levels non ?
(ptit coup de update-rc)
Posté le 29 janvier 2010 à 15:09:53
David
Pour ce genre d’utilisation d’IPTable rien ne vaut Fail2Ban.
Son principe est simple : analyse des logs et en cas d’évènement suspicieux l’@IP est banni pour quelques minutes à l’aide d’une simple règle IPtable générée automatiquement.
De mémoire, par défaut Fail2Ban surveille les log SSH ; en cas de 5 tentatives de login infructueuse l’@IP est bannie pour 30mn. Il est bien sure possible d’étendre ses surveillances et ses réactions à d’autres fichiers de logs pour bloquer d’autres types d’actions malveillantes. Dans l’esprit on se rapproche d’un IPS.
Posté le 29 janvier 2010 à 15:18:43
Nicolas
Voici un article qui permet d’aller un peu plus loin notamment pour bloquer un DDOS
http://www.wikigento.com/securite/tarpit-iptables-les-armes-fatales-anti-ddos/
Posté le 29 janvier 2010 à 15:19:08
Avish
@David:
Autant installer un vrai IPS…
@kitten13:
Spoof, DDOS, shellcode, etc, pis ton script est contournable.
Posté le 29 janvier 2010 à 15:24:40
Korben
@Nicolas: great ! Merci l’ami
Posté le 29 janvier 2010 à 15:35:06
grosdim
Tu peux aussi utiliser le prog fail2ban qui fait pareil
Posté le 29 janvier 2010 à 15:47:56
Cyril
Fail2ban n’agit pas sur des requêtes HTTP. Il se base sur des fichiers de log d’authentification. Seuls les services type SSH, HTTPS, FTP etc peuvent bénéficier de fail2ban. Ou alors un « détournement » de son fonctionnement est possible… ?
Posté le 29 janvier 2010 à 16:03:11
Trevelian
Oui j’utilise fail2ban sur mon serveur aussi ca protège de pas mal d’attaque sur apache / vsftp / attaque dos / bureau a distance ect
Ça bannit les IP automatiquement après un certain nombre de try infructueux ou en cas de flood de demande.
Mais merci pour le tuto, faut faire une alias ban XXX.XXX.XXX.XXX qui fait un cat de l’ip direct dans ton fichier de blaireaux et c’est la classe
Posté le 29 janvier 2010 à 16:03:50
Mat
@cyril tu peux faire tes propres regles a base de regexp sur n’importe quel fichier de log avec fail2ban, donc rien ne t’empeche de traiter ton log de requetes http avec un motif particulier anti-boulets penibles
Posté le 29 janvier 2010 à 16:27:49
phadeb
RAF j’ai qu’un CIFS et un petit NFS j’vais m’amuser à bloquer les hadopistards ^^
Posté le 29 janvier 2010 à 16:29:22
Cyril
@Mat : Énorme, je ne m’étais jamais penché plus loin ! Merci !
Posté le 29 janvier 2010 à 16:31:22
sejour appn
Bonjour et merci pour ce tuto, un petit complément pour bloquer en fonction des pays peut être sympa aussi, pour quelqu’un qui ne veut pas sur son site de visiteurs autres que le pays d’origine ça peut etre pratique
Posté le 29 janvier 2010 à 16:34:00
John
Pour ma part, concernant les IPs, je suis chez Club-internet (devenu Neuf, devenu SFR), et ça va faire bien deux ans que mon ip n’a pas changé. Je n’ai pas de « box » (un routeur Linksys perso), et j’ai une offre internet haut-débit seul.
J’ai bien l’impression que les IPs dynamiques se raréfient, et c’est une bonne chose… cela permet à ce genre de filtrage par IP de plutôt bien fonctionner.
Posté le 29 janvier 2010 à 16:35:46
niktalop
merci iptables !!!!
Posté le 29 janvier 2010 à 16:36:48
azop
Faut pas etre declare a la cnil pour receuillir des informations sur les internautes ?
Simple question legale.
Posté le 29 janvier 2010 à 16:39:27
Mat
@azop Pas en tant que particulier dans la plupart des cas :
http://www.cnil.fr/vos-responsabilites/declarer-a-la-cnil/dispense/mon-secteur-dactivite/mon-theme/mon-fichier/dispense-selectionnee/dec-mode/DISPLAYSINGLEFICHEDISP/dis-uid/38/
Posté le 29 janvier 2010 à 16:44:32
Cyril
Sinon pour Apache il y a aussi (je viens de découvrir) les directives et (http://httpd.apache.org/docs/2.0/mod/core.html#limit) afin de limiter les méthodes sur votre serveur web
Posté le 29 janvier 2010 à 16:55:11
Tristan
kitten13: heu ! Non !
Les htaccess protège seulement apache, pas tous les autre deamon qui tourne sur ton serveur ! Donc niveau sécurité… FBI ou pas !
Posté le 29 janvier 2010 à 17:17:16
Tristan
-deamon +daemon
Posté le 29 janvier 2010 à 17:18:48
Tolas
Perso moi je fais un peu comme Gilou.
Un script que je mets dans if-up.d
iptables-save > filename
iptables-restore -c < filename
Posté le 29 janvier 2010 à 17:24:26
sebsauvage
J’aime beaucoup fail2ban.
Cette petite merveille surveille vos log, et lance des commandes iptables pour bannir temporaire ou définitivement des adresses IP.
Il y a des règles pour ssh, ftp, apache et vous pouvez même écrire vos propres règles (pour vos webapps, pages de login, etc.).
Il peut gérer des paramètres différents pour chaque: nombre d’échecs autorisés, durée de bannissement, etc.
Très sympa.
J’ai fait un petit article là dessus: http://www.commentcamarche.net/faq/sujet-18225-utiliser-fail2ban-pour-proteger-votre-application-web
et pour les gros malades qui veulent sécuriser apache2 à mort, regardez du côté mod_security. C’est puissant, mais c’est une bonne prise de tête à configurer.
Posté le 29 janvier 2010 à 17:26:10
wluce0
ou sinon tu installes Uncomplicated FireWall (UFW) et tu fais :
$ ufw deny from x.y.z.w
c’est simple aussi
Posté le 29 janvier 2010 à 17:32:17
Deadeye
on reconnais un utilisateur Ubuntu ^^
Posté le 29 janvier 2010 à 17:46:31
Korben
@Deadeye: oui
déformation ubuntuesque 
j’assume !
Posté le 29 janvier 2010 à 17:47:54
MikeZ
Je suis ptet une buse mais un .htaccess c’est pour protéger un serveur apache non? (et d’autres trucs encore :p)
Alors que iptable intervient plus en amont , c’est à dire dans l’OS….
Donc question protection, un .htaccess si ta pas de serveur oueb c’est un peu comment dire… un cataplasme sur une jambe de bois….
Et même , au niveau du serveur oueb … ca n’empêche pas ta machine de répondre… Juste que le serveur web envoie bouler l’ip… Mais ya pas que le serveur web sur une machine, surtout linux…
L’intitulé étant « Sur votre serveur. » tout cours, iptable convient bien et prend ici tout son sens. Cela dit, le htaccess est aussi très utile
Posté le 29 janvier 2010 à 18:30:12
Manson Thomas
@Korben: Korben, y’a plus simple, plus automatiques: Fail2ban, http://www.fail2ban.org/, ca analyse les logs des composants de ton serveur (apache, ssh, etc…) et au bout de n violation d’une regles, ca bloque l’ip pendant un certain temps…
moi je met ca sur tout mes serveurs !
(tout comme ufw, bcp plus digeste que iptable)
(un autre truc pas mal, c’est haproxy pour faire du load balancing entre plusieurs serveur ou simplement proteger ton serveur d’une attaque un peu nouvelle qui consiste a ouvrir des miliers de connexion et consommer le flux http très lentement)
Thomas.
Posté le 29 janvier 2010 à 18:43:08
Alex_Calibur
De mon coté, j’ai une certaine tranquillité avec fail2ban + désactivation du login root sur depuis une autre IP que lo ..
Ainsi, faut d’abord se logger en user et ensuite su – / sudo pour passer root.
L’énorme avantage de fail2ban, c’est les logs, ça permet de remonter à l’origine de l’attaque, c’est très amusant quand on arrive à identifier un {webmaster;admin}@domain et qu’on lui envoie les extraits de log
pour le DDOS, a mon niveau, pour le moment, je ne suis pas inquiet :p
Posté le 29 janvier 2010 à 18:46:10
Vouze
A priori, si tu veux bloquer le méchant pirate, c’est qu’il te floode.
Donc l’option « -m limit –limit 3/min » limitera la taille du log..
https://help.ubuntu.com/community/IptablesHowTo
Et si le méchant « pirate » est un corsaire des ayant-droits (de penser à ta place), le pendant officiel de peer-guardian 2 pour linux est MoBlock :
- http://phoenixlabs.org/pglinux/
- http://moblock.berlios.de/
- http://moblock-deb.sourceforge.net/ << la page la plus fournie
Posté le 29 janvier 2010 à 18:49:42
Avish
@Korben:
erf un serveur sous ubuntu ? … pauvre serveur.
Posté le 29 janvier 2010 à 18:53:09
septi¢
Y’a d’autres nanars dans mon genre qui savent pertinemment qu’ils vont rien comprendre à la discussion mais qui lisent quand même jusqu’au dernier commentaire ou j’suis le seul à être un abruti ?
Posté le 29 janvier 2010 à 18:53:46
Jo
@septi¢: On est deux. Et encore, y’a des articles que je comprends même pas la moitié, mais j’vais quand même lire les commentaires. J’dois pas être net.
Posté le 29 janvier 2010 à 19:03:47
Dju
yeahh ! iptables ça roxxxxxx
j’ai moi aussi un script equivalent tournant sur mon serveur depuis un an, et ça aide beaucoup !
ça permet surtout d’éviter les attaques DDOS venant d’ip ciblées
Et comme le signale Manson Thomas, fail2ban le fait automatiquement, à partir des logs ssh/apache/ftp et autres, ce qui est très pratique !
Par contre, l’inconvénient est que ce n’est pas du temps réel et qu’en cas d’attaque, le serveur peut être deja explosé avant que fail2ban ne réagisse…
Et au moins sur debian et ubuntu, iptables est of course installé de base :p
@Avish: et pourquoi pas ? honnetement, ubuntu serveur est très bien
[troll velu]
(patapééééé je ne suis deja plus la !)
Et le jour ou il y aura un équivalent à iptables sur windows, on pourra arreter d’avoir peur quand il est en frontal
[/troll velu]
Posté le 29 janvier 2010 à 19:06:04
manzhack
Fail2Ban, bien configuré, c’est vraiment une tuerie!
En plus, pas besoin de se casser la tête à trouver l’IP attaquante. Juste regarder de temps en temps les logs du petit service!
Posté le 29 janvier 2010 à 19:13:04
movideo
Enfin des connards en moins sur ton site.
A+
Posté le 29 janvier 2010 à 19:14:23
parcimonie
toujours un plaisir de te lire .
j’ai rien compris sauf que je suis célèbre !!!!
Posté le 29 janvier 2010 à 19:18:47
Dju
ha tiens, pendant qu’on parle iptables, un article très interessant en english, (suite à l’article qu’a donné Nicolas) sur le mode « tarpit » d’iptables avec lequel y’a moyen de se faire une bonne protection tout autant que de troubler les scanners automatiques :p
–> http://www.securityfocus.com/infocus/1723
Posté le 29 janvier 2010 à 20:01:05
Fourrure
Ouf, j’ai la preuve que Korben ne m’a pas encore débusqué ! Bien marré en lisant les sous catégories de blaireau commun !!
Posté le 29 janvier 2010 à 20:14:42
totolito
merci pour le travail et ton courage
tu es le meilleur et nike les blaireaux, c’est vraiment sympa de faire tourner
le MEILLEUR SITE DU WEB INSIDE
KORBEN RULES
tekk
Posté le 29 janvier 2010 à 20:17:34
Tolas
Petite parenthèse qui n’a rien à voir avec le sujet…
Mais c’est vrai que ça fait plaisir tous les soirs de lire ton blog en rentrant du boulot
Longue vie !
Posté le 29 janvier 2010 à 20:39:39
tito
Free :
sauf erreur, dnos jours on est en ip fixe par défaut uniquement sur les freebox V5 en dégroupé et en ip dynamique par défaut les freebox v4 à la campagne (comme moi par exemple, avec mes 615 kbits en fond de 2, perdu dans le 70,
avec une vieille freebox v4 toute cabossée ).
Et l’ip fixe est gratuite et se demande sur le site du free « mon compte » (ce que j’ai fait justement pour m’ouvrir des ports sur des firewalls de mes serveurs).
Et pour finir , quand j’étais en dynamique je changeais bien d’ip parce que la nuit j’éteins tout ce bazarre. ok on s’en fout, mais c’est pour dire.
Iptables :
question qui m’intéresse , le fichier /etc/sysconfig/iptables existe pas sous bounetou ?
sur fedora et redhat à l’installation tu précises les ports que tu veux laisser ouvert, et pas défaut iptables est installés, le service est active, et le fichier des regles c’est /etc/sysconfig/iptables.
suffit donc de le modifier, de faire des service iptables reload pour prendre en compte, et ça conserve donc la config au reboot. c’est propre, pas de iprestore ou autre truc qu i dépasse. zetes sur kya pas un truc équivalent sous bounetou ?
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state –state NEW -m tcp -p tcp -s 94.23.0.19/32 –dport 22 -j ACCEPT
-A INPUT -j REJECT –reject-with icmp-host-prohibited
-A FORWARD -j REJECT –reject-with icmp-host-prohibited
COMMIT
Posté le 29 janvier 2010 à 21:04:47
Picsou
Pour ma part, je suis bien content d’avoir une IP dynamique chez Neuf/SFR. Ça me permet de télécharger de façon illimitée (en rebootant ma box) sur les sites de téléchargements directs, comme Rapidshare ou MegaUpload, sans avoir à payer de comptes Premium .
Posté le 29 janvier 2010 à 21:31:18
Red-Rabbit
Et Fail2ban ? C’est trop compliqué pour les cadors linuxiens qui passent ici ?
Et ben dites donc.
Posté le 29 janvier 2010 à 22:02:04
Fail2ban
@Red-Rabbit: pas mal dans le genre je lis aucun comm avant de poster. Fail2ban a juste été proposé une dizaine de fois…
Posté le 29 janvier 2010 à 22:50:25
spamoi
« Vous l’aurez compris, j’ai masqué volontairement les IPs mais c’est pour vous expliquer. Remplacez les xxx.xxx.xxx.xxx par un vrai truc… »
ah bon
lol
Posté le 29 janvier 2010 à 22:55:27
Red-Rabbit
@Fail2ban …
10 fois sur 62 commentaires … Tu parle d’un exploit.
Et comme je veux pas me battre avec des gens qui veulent toujours avoir raison. Et oui j ai pas linux
Posté le 29 janvier 2010 à 23:25:25
Dju
@korben t’as oublié un tout piti truc pour que le script se lance automatiquement au démarrage
)
> update-rc.d -f block defaults
et la, ça roxx des mamouths (la preuve,y’en as plus
m’enfin bon c’pas bien grave vu qu’un serveur tourne en permanence, et n’est pas censé redémarrer
Posté le 30 janvier 2010 à 00:11:43
Rokin
@ cyril et les autres
Pour le http c’est possible avec fail2ban
il y as aussi modsecurity en complément pour apache qui permet de créer des règles sur les requêtes http (une grosse base et disponible sur leur site) et qui agis en conséquence (ban ou autre sur des tentatives d’sql injection & co )
sa limite encore un peu plus pour celui qui veut vraiment sécuriser sur tout les fronts sont serveur
Posté le 30 janvier 2010 à 00:50:52
Brouz0uf
Juste le truc qu on oublie…
Korben +1 !
Posté le 30 janvier 2010 à 02:57:33
NoobsInterne
c’est a voir le nombre de commentaire sur cette news que l’on sait que c’est un blog pour geek : lol
Posté le 30 janvier 2010 à 09:04:34
Pierre
Hé (Fr) Korben,
C’est quoi le/les bots (« au travers de bots ») ???
Je trouve pas dans http://free.korben.info
Merci de la réponse.
Posté le 30 janvier 2010 à 10:31:10
ILP
Pour les blaireaux, tu devrais faire une redirection vers cette page :
http://www.albinoblacksheep.com/flash/badgers
À chaque fois elle me fait marrer
Posté le 30 janvier 2010 à 10:45:30
aegiap
Du coté d’ipset [1], tu pourras faire des listes d’ip et les manipuler dynamiquement. Pas besoin de supprimer/reinjecter les regles iptables.
[1] : http://ipset.netfilter.org/ipset.man.html
Posté le 30 janvier 2010 à 11:31:12
minibrout
mon j’utilise denyhosts sous debian.
http://doc.ubuntu-fr.org/denyhosts
simple et efficace, impressionnant le nombre d’attaque par jour alors que mon serveur ne fait rien (mail et client mldonkey
)
Posté le 30 janvier 2010 à 13:39:58
Olivier
Pour les utilisateurs de Shorewall, il y a aussi les commandes :
shorewall drop
et
shorewall allow
« Il faudra alors simplement collecter quelques preuves (piratage ou diffamation) et aller porter plainte chez votre contractuelle la plus proche ))) » : concrètement, il faut faire quoi, à part un mail à abuse de l’ISP du mec ?
Parceque je suis déjà allé au commisariat pour porter plainte contre un guignol qui essayait de me flooder, et ils en ont rien à foutre.
Même chose pour un petit con qui volaient des données et les repostait ailleurs, ils ne veulent pas prendre la plainte et je en sais pas où me diriger (pour ce dernier cas, ayant le nom du mec, je me suis arrangé tout seul…).
Posté le 30 janvier 2010 à 21:00:08
Stratégie militaire
Tu aurais quand même pu donner l’alternative sous Windows, qui n’est pas plus complexe
Posté le 31 janvier 2010 à 10:32:49
Tolmek
Tu trouve de tout sous Windows, même des outils cachés pour voir les IP des gens qui se connectent à Google : http://www.youtube.com/watch?v=SXmv8quf_xM
Posté le 31 janvier 2010 à 12:54:08
lapin_masqué
Il y a quand même plus simple quand on utilise l’OpenBSD Packet Filter :
table persist <blaireaux> file « /etc/blaireaux.ips »
block in quick from <blaireaux>
http://www.openbsd.org/faq/pf/fr/index.html
Posté le 31 janvier 2010 à 14:07:22
Nath
Plop.
Sans oublier, pour ne pas condamner les ip dynamique à vie qu’on peut inclure un paramètre de « TTL ». Donc pour les petits filou méchant tout plein bah suffit de les envoyé baladé. Ou encore mieux les envoyé sur une page avertissement leur expliquant que ce qu’il font est vain
Sinon je confirme pour iptablev6. C’est pas encore très utile dans l’immédiat , mais sera diablement utile sous ipv6. Car ipv6 = statique + « personnelle »
Sous iptable aussi y’a moyen si je ne me trompe d’établir des règles. Les petits bots qui refresh 40 000 fois par heure. Bah on peut dire que si une IP fait un 10 refresh en 10 seconde qu’elle soit bannie X temps.
c’est bien mieux que d’aller éditer chaque fois le conf.
Et faut dire à mon avis Korben que le plus gros que tu as à craindre c’est bien les refresh abusifs.
En parlant de ça je me demande toujours pourquoi les petits crack chinois ou l’armée hadopi ne t’as pas mis au silence !
Liberté quand tu nous tiens.
Posté le 31 janvier 2010 à 14:54:54
sebsauvage
fail2ban est très sympa.
Ça marche pour ssh, ftp, smb, http… ou n’importe quelle application que vous développez vous-même:
http://www.commentcamarche.net/faq/sujet-18225-utiliser-fail2ban-pour-proteger-votre-application-web
Posté le 31 janvier 2010 à 18:53:13
totolito
il y a également BruteLock
http://www.brutelock.com/home/
Posté le 31 janvier 2010 à 22:02:17
Drazhar35
Korben utilise vim c’est mieux
Sinon les iptables dès qu’on à besoin de faire un usage un peu pousser en firewall c’est vraiment top !
Posté le 31 janvier 2010 à 23:47:49
MrBlaireau
Mais heu… J’ai rien fait de mal moi :’(
Posté le 1 février 2010 à 10:49:43
Celius
Je reviens sur la dernière remarque de Dju :
> @korben t’as oublié un tout piti truc pour que le script se lance automatiquement au démarrage
« Sauvegardez le fichier et créez ensuite le script suivant dans /etc/init.d/block
[...]
chmod +x /etc/init.d/block
Ainsi, le script sera lancé à chaque redémarrage de votre serveur. »
A vrai dire, il ne suffit pas que le script soit rendu exécutable pour qu’il soit lancé au démarrage du système.
Il faut créer un lien vers au moins un des répertoires utilisés pour démarrer les scripts système V, c’est à dire : /etc/rcX.d/AAnom_du_script ou « X » correspond au runlevel, et « AA » deux digits qui correspondent à l’ordre d’exécution des scripts au démarrage.
Ce lien peut se créer manuellement :
ln -s /etc/init.d/block /etc/rc2.d/S99block
Ou avec la commande update-rc.d :
update-rc.d block defaults 99
Cependant, je pense qu’un script mettant en place des règles iptables est plus lié au démarrage du réseau plutôt qu’au démarrage de la machine. Donc au lieu de le rattacher à un répertoire rcX.d, je créerais un script de lancement dans /etc/network/if-up.d :
#–
#! /bin/sh
/etc/init.d/block
#–
A noter que de cette manière il est également possible de lancer le script au démarrage d’une interface particulière grâce à la variable : « $IFACE ».
#–
#! /bin/sh
if [ "$IFACE" == "eth0" ]; then
/etc/init.d/block
fi
#–
Et pour finir, si on veut faire les choses un peu plus proprement, on pourra partir du template /etc/init.d/skeleton enfin de construire le script block de façon à ce qu’il soit utilisable comme n’importe quel initscript (ie. avec start, stop, restart, etc).
Ca permettrait entre autre de désactiver les règles iptables quand notre réseau est down, simplement en ajoutant un script qui lance « /etc/init.d/bock stop » dans /etc/network/if-down.d.
Posté le 1 février 2010 à 11:39:00
Eleonora
aojudy@gmail.com..194.44.169.68 Voilà ce que j’ai depuis quelques jours. Cela vient d’Ukraine et je ne comprends pas ce qu’il vient faire sur un blog de cuisine. J’ai vu sur google un tas de renseignements sur lui et il vient surtout sur les concours avec les enfants. Du coup, j’ai retiré les billets. J’ai beau lire vos messages, je suis franchement nulle dans le domaine. Je suis de plus sur un site privé et pas trop d’accès. Comment faire pour m’en débarasser dans de bonnes conditions…Merci de votre aide …
Posté le 1 mars 2010 à 22:40:24