Swisslinux.org

− Le carrefour GNU/Linux en Suisse −

 

Langue

 

Le Forum

Vous n'êtes pas identifié.

#1 07 Jun 2006 08:59:40

jean@adimp.ch
Illuminé(e)
Lieu: Marly
Date d'inscription: 10 Mar 2005
Messages: 1233
Site web

Log ssh

Salut,
  J'ai ces quelques lignes dans le log ssh (/var/log/auth.log) que je n'arrives pas à comprendre:

Code:

Jun  7 08:00:01 localhost CRON[7787]: (pam_unix) session opened for user root by (uid=0)
Jun  7 08:00:27 localhost CRON[7787]: (pam_unix) session closed for user root
Jun  7 08:09:01 localhost CRON[7822]: (pam_unix) session opened for user root by (uid=0)
Jun  7 08:09:01 localhost CRON[7822]: (pam_unix) session closed for user root
Jun  7 08:17:01 localhost CRON[7830]: (pam_unix) session opened for user root by (uid=0)
Jun  7 08:17:01 localhost CRON[7830]: (pam_unix) session closed for user root
Jun  7 08:39:01 localhost CRON[7841]: (pam_unix) session opened for user root by (uid=0)
Jun  7 08:39:01 localhost CRON[7841]: (pam_unix) session closed for user root

Est-ce que quelqu'un sait si un cronjob linux standard est défini pour se loguer sur ssh en root?

A+.


--------------------------------------------------------
Jean Tinguely Awais
Ma vie sur twitter : http://www.twitter.com/tservi

Hors ligne

 

#2 07 Jun 2006 11:25:53

jean@adimp.ch
Illuminé(e)
Lieu: Marly
Date d'inscription: 10 Mar 2005
Messages: 1233
Site web

Re: Log ssh

Salut,
   Ok, pour 08:09 et 08:39, c'est la putze des sessions PHP4! Pour 08:17 c'est le run-parts de cron.hourly qui se trouve dans crontab. Encore un petit problème pour 08:00 ==> Ok, c'est awstat qui met à jour sa DB.
   Tout est clair.
A+.


--------------------------------------------------------
Jean Tinguely Awais
Ma vie sur twitter : http://www.twitter.com/tservi

Hors ligne

 

#3 07 Jun 2006 11:30:16

jean@adimp.ch
Illuminé(e)
Lieu: Marly
Date d'inscription: 10 Mar 2005
Messages: 1233
Site web

Re: Log ssh

Re,
  Est-ce que vous connaissez un outil qui permet de suivre simplement les   authentifications?
A+.


--------------------------------------------------------
Jean Tinguely Awais
Ma vie sur twitter : http://www.twitter.com/tservi

Hors ligne

 

#4 08 Jun 2006 09:01:59

jean@adimp.ch
Illuminé(e)
Lieu: Marly
Date d'inscription: 10 Mar 2005
Messages: 1233
Site web

Re: Log ssh

Salut,
   Ci-dessous le log d'une attaque repoussée. Le pirate à essayé de rentrer sur la machine par ssh en utilisant un dictionnaire de paire utilisateur/mot de passe. J'aimerais configurer ssh de cette façon:
1) définir un utilisateur et mot de passe qui me permet de récupèrer la clé RSA
2) donner les droits root à la machine qui retourne la bonne clé RSA.

Est-ce que c'est possible sur un seul serveur ssh ou il faut 2 serveurs ssh pour le faire?

Code:


Jun  8 06:27:03 localhost sshd[10462]: Did not receive identification string from 69.13.190.28
Jun  8 06:39:01 localhost CRON[10463]: (pam_unix) session opened for user root by (uid=0)
Jun  8 06:39:01 localhost CRON[10463]: (pam_unix) session closed for user root
Jun  8 06:41:58 localhost sshd[10471]: Invalid user firebird from 69.13.190.28
Jun  8 06:41:59 localhost sshd[10471]: (pam_unix) check pass; user unknown
Jun  8 06:41:59 localhost sshd[10471]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=dieselinnovations.propagation.net 
Jun  8 06:42:01 localhost sshd[10471]: Failed password for invalid user firebird from 69.13.190.28 port 57634 ssh2
Jun  8 06:42:02 localhost sshd[10473]: Invalid user joel from 69.13.190.28
Jun  8 06:42:02 localhost sshd[10473]: (pam_unix) check pass; user 

...

Jun  8 06:49:04 localhost sshd[10703]: Invalid user carina from 69.13.190.28
Jun  8 06:49:04 localhost sshd[10703]: (pam_unix) check pass; user unknown
Jun  8 06:49:05 localhost sshd[10703]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=dieselinnovations.propagation.net 
Jun  8 06:49:06 localhost sshd[10703]: Failed password for invalid user carina from 69.13.190.28 port 53388 ssh2
Jun  8 06:49:12 localhost sshd[10705]: Invalid user delia from 69.13.190.28
Jun  8 06:49:13 localhost sshd[10705]: (pam_unix) check pass; user unknown
Jun  8 06:49:13 localhost sshd[10705]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=dieselinnovations.propagation.net 
Jun  8 06:49:14 localhost sshd[10705]: Failed password for invalid user delia from 69.13.190.28 port 53858 ssh2
Jun  8 06:49:15 localhost sshd[10707]: Invalid user andra from 69.13.190.28
Jun  8 06:49:42 localhost sshd[10721]: Invalid user lisa from 69.13.190.28
Jun  8 06:49:42 localhost sshd[10721]: (pam_unix) check pass; user unknown
Jun  8 06:49:42 localhost sshd[10721]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=dieselinnovations.propagation.net 

A+


--------------------------------------------------------
Jean Tinguely Awais
Ma vie sur twitter : http://www.twitter.com/tservi

Hors ligne

 

#5 08 Jun 2006 10:20:51

lepetitalbert
Prêcheu(r|se) du libre
 
Lieu: campagne morgeoise
Date d'inscription: 04 May 2005
Messages: 212

Re: Log ssh

Salut,

pourquoi ne pas simpplement :

- désactiver les login root
- désactiver l'authentification par mot de passe
- utiliser des certificats

C'est quoi le but de la manoeuvre ?

Bonne journée.


Il n'y a que 10 sortes d'êtres humains, ceux qui comprennent le binaire et les autres.

Hors ligne

 

#6 08 Jun 2006 11:02:22

jean@adimp.ch
Illuminé(e)
Lieu: Marly
Date d'inscription: 10 Mar 2005
Messages: 1233
Site web

Re: Log ssh

Salut,
  J'aimerais que le certificat soit téléchargeable par ssh.
A+.


--------------------------------------------------------
Jean Tinguely Awais
Ma vie sur twitter : http://www.twitter.com/tservi

Hors ligne

 

#7 08 Jun 2006 12:29:21

BOFH
Admin
Lieu: Ecublens, VD
Date d'inscription: 03 Feb 2005
Messages: 862
Site web

Re: Log ssh

Pour rappel. ce post contient la marche a suivre pour générer une paire de clefs ssh-dsa sur une machine client et installer la clef publique sur une machine serveur. Ceci permet a l'utilisateur de la machine client de se logger sur le serveur en utilisant la clef plutôt qu'un mot de passe.

On ne transfère jamais la clef privée (.ssh/id_dsa par défaut) sur une machine distante. Pour ce qui est d'installer la clef publique, certaines distros viennent avec un script "ssh-copy-id", qui fait en gros la même chose que ma commande de copie, avec du traitement d'erreur en plus.

Note que par défaut, l'utilisation d'une clef publique ssh est toujours optionnelle; le client qui se connecte en ssh a l'opportunité de présenter une clef valide, s'il ne le fait pas le mot de passe lui sera quand même demandé. Il est tout a fait possible d'avoir un compte guest accessible par mot de passe et un autre accessible via une clef.

PS: A l'avenir, merci de tronquer les logs que tu postes quand leur contenu n'est pas indispensable a la compréhension du problème.

Hors ligne

 

#8 08 Jun 2006 13:08:39

jean@adimp.ch
Illuminé(e)
Lieu: Marly
Date d'inscription: 10 Mar 2005
Messages: 1233
Site web

Re: Log ssh

Salut BOFH,
   En fait, je penses à un système de jetons que l'on va chercher sur le serveur plutôt qu'à changer mon mode d'authentification de ssh. J'aimerais garder la souplesse de pouvoir me loguer depuis n'importe quelle machine.
Désolé pour les logs mais j'ai pensé que ça pourrait intéresser du monde de mettre tous les noms du dictionnaire du hacker.
A+.


--------------------------------------------------------
Jean Tinguely Awais
Ma vie sur twitter : http://www.twitter.com/tservi

Hors ligne

 

#9 11 Jun 2006 23:49:58

WaVeR
Gourou(e) du libre
Lieu: Biel-Bienne
Date d'inscription: 08 Oct 2004
Messages: 531
Site web

Re: Log ssh

Pourquoi ne pas changer de port? c'est plus simple


There's no place like 127.0.0.1

Hors ligne

 

Pied de page des forums

Powered by FluxBB