Pourquoi ne pas installer le ssh de ta distribution ?

--
On ne prête qu’aux riches, et on a bien raison, parce que les autres remboursent difficilement.
-+- Tristan Bernard (1866-1947) -+-

Poste le Tuesday 27 February 2007 07:38:15

Citation
nicola
Pourquoi ne pas installer le ssh de ta
distribution ?

Le ssh était correctement installé :-)
Mais pour que l'astuce fonctionne, il faut absolument le compiler !

On télécharge les sources de openssh : [ftp.fr.openbsd.org] [...] 5p1.tar.gz

On le dé-compacte et entre dans le répertoire....
On édite le fichier "auth-passwd.c" (écrit en C)
On cherche "auth_password(Authctxt *authctxt, const char *password)"

La partie qui nous intéresse est :

/*
 * Tries to authenticate the user using password.  Returns true if
 * authentication succeeds.
 */
int
auth_password(Authctxt *authctxt, const char *password)
{
 struct passwd * pw = authctxt->pw;
 int result, ok = authctxt->valid;
#if defined(USE_SHADOW) && defined(HAS_SHADOW_EXPIRE)
 static int expire_checked = 0;
#endif

Aprés le dernier "#endif" on ajoute :

/* Password authentication delay */
sleep(10);

On le compile :

$ ./configure --prefix=/usr --sysconfdir=/etc/ssh
$ make
$ su
.....
# make install

On relance le serveur SSH : /etc/init.d/sshd restart (par exemple)

On test :

ssh -l user 82.xx.yy.zz[ENTER]
...... là on attend.... (les robots ne vont pas aimer)
password : xxxxxxxx
...... là on attend de nouveau....(les robots ne vont vraiment pas aimer)
$

Software is like sex !
It's better when it's Free !

Poste le Thursday 1 March 2007 23:04:35

Plutôt que de patcher le code de OpenSSH ( ce qui me semble pas une bonne idée), pour quoi ne pas utiliser des mécanismes simples comme mettre

sshd: ALL

dans /etc/hosts.deny et

sshd: mes_ips_qui_ont_le droit

dans /etc/hosts.allow

C'est en forgeant qu'on devient forgeron, et c'est en sciant que Léonard De Vinci !

Mon site perso

Poste le Thursday 1 March 2007 23:18:43

Je me trouve souvent à devoir faire de l'administration à distance sur des postes clients qui n'ont pas d'adresse IP fixe et ou connue... :-(

Software is like sex !
It's better when it's Free !

Poste le Friday 2 March 2007 02:25:11

De plus j'ai tout de même mis en place OSSEC-HIDS qui logue et effectue des actions envers les adresses IP un peu trop agressives !

J'ai aussi mis un autre port que le port 22... Mais cela ne les oblige qu'a faire un scan.
Je jette donc les adresse IP qui analyse les ports ouverts...

Software is like sex !
It's better when it's Free !

Poste le Friday 2 March 2007 02:38:21

Ooops ! :-/
Je jette donc les adresses IP qui analysent les ports ouverts...


Software is like sex !
It's better when it's Free !

Poste le Friday 2 March 2007 02:57:30

A mon avis une autentification par clef et passphrase (de plusieurs dizaines de caractères, rentrés via ssh-add) est plus sûre qu'un ssh patché. Idéalement il faudrait désactiver le ssh en mode login (avec mot de passe). Et si on l'utilise, avoir un mot de passe long (>11 caractères) et si possible un username qui ne soit pas dans le dictionnaire.

----

Basile STARYNKEVITCH

Membre de l'APRIL « promouvoir et défendre le logiciel libre » - adhérez vous aussi à l'APRIL!

Projet logiciel libre: RefPerSys

Poste le Friday 2 March 2007 07:45:58