La mise en œuvre de nouvelles mesures de sécurité sera d'une grande aide pour améliorer les niveaux de disponibilité et de confidentialité de tout système d'exploitation, car nous créerons des tâches prêtes à faire face à toute menace interne et externe pour le système.
L'une des attaques au niveau du réseau qui peut être plus critique sont les attaques SSH, qui utilisent des connexions sécurisées, c'est pourquoi elles sont difficiles à détecter et peuvent donc pénétrer dans le réseau et y effectuer toute action malveillante qui affecte son comportement optimal.
Aujourd'hui, chez Solvetic, nous analyserons une application qui a été développée pour créer un filtre qui empêche les attaques de ce type et qui est l'outil DenyHosts.
Qu'est-ce que DenyHostsDenyHosts est un script qui a été développé pour être exécuté par les administrateurs système afin d'aider à arrêter les attaques sur le serveur SSH, attaques que nous connaissons également sous le nom d'attaques basées sur un dictionnaire et d'attaques par force brute.
Pour avoir une idée du nombre d'attaques de ce type que l'on peut recevoir, il suffit de regarder le répertoire /var/log/secure dans RedHat ou CentOS 7 ou le répertoire /var/log/auth.log dans Ubuntu ou Debian et nous verrons ce qui suit :
Bien qu'il s'agisse simplement de tentatives, si quelqu'un peut accéder au système, nous pourrions être confrontés à une situation de sécurité vraiment critique.
Dans ces cas, il est utile de mettre en place la solution DenyHosts pour nous aider à gérer ce type d'accès et éviter les mauvaises surprises dans notre tâche de gestion.
Fonctionnalités de DenyHostsCertaines des fonctionnalités de DenyHosts sont :
- Il peut être exécuté à partir de la ligne de commande, cron ou en tant que démon.
- Enregistre toutes les tentatives de connexion infructueuses pour l'utilisateur et l'hôte incriminés.
- Dans le cas où un hôte dépasse un nombre de seuil, le mauvais hôte est enregistré.
- Il peut garder une trace de chaque utilisateur inexistant lorsqu'une tentative de connexion échoue.
- C'est dans la capacité de garder une trace de chaque utilisateur existant lorsqu'une tentative de connexion échoue.
- Gardez une trace de chaque hôte incriminé.
- Exécute une trace des connexions suspectes, ces connexions qui ont réussi pour un hôte avec de nombreux échecs de connexion.
- Suivi du défilement du fichier, pour retracer en permanence le même fichier (/var/log/secure).
- Lorsque le fichier journal est tourné, le script le détecte et l'analyse depuis le début, augmentant ainsi sa sécurité.
- Ajoutez /etc/hosts.deny et ajoutez les hôtes récemment bannis.
- En option, envoyez un e-mail aux hôtes récemment interdits et aux connexions suspectes pour un contrôle plus précis.
- Conserve un historique de toutes les connexions, hôtes et utilisateurs suspects, y compris les données et le nombre de tentatives de connexion infructueuses pour eux.
- Il stocke les tentatives de connexion échouées valides et non valides dans des fichiers séparés, il est donc facile de voir quel utilisateur valide est attaqué.
- Après chaque exécution, le script charge les données précédemment enregistrées et les réutilise pour ajouter de nouveaux bogues existants.
- Résout les adresses IP en noms d'hôtes, si disponibles.
- Les entrées /etc/hosts.deny peuvent expirer à tout moment spécifié par l'utilisateur.
- Prise en charge de FreeBSD
1. Installer DenyHosts sur Ubuntu 17 Linux
Pour installer DenyHosts dans Ubuntu 17.10, nous exécuterons la ligne suivante :
sudo apt installer denyhosts
Connectez-vous Inscrivez-vous !
