Ce n'est pas une question, c'est juste quelque chose que j'ai vu la semaine dernière en parcourant les logs de plusieurs de mes serveurs: fail2ban qui blackliste "localhost".
Après investigation, c'est une machine au Vietnam qui tente de forcer l'accès ssh par force brute et qui renvoie "localhost" lorsque fail2ban fait du reverse mapping. J'étais assez incrédule, mais en effet, un "host XXX.XXX.XXX.XXX" renvoie "localhost"… Je ne sais pas quelles sont les implications exactes au niveau sécurité (j’avais pensé à MySQL, mais comme "localhost" force la connexion par sockets, cela ne devrait pas avoir d'impact négatif), donc si certains ont des conseils quand à quelles mesures additionnelles prendre dans ce cas de figure, je suis preneur!
Mathias
# le vrai
Posté par nono14 (site web personnel) . Évalué à 3. Dernière modification le 31 octobre 2016 à 12:34.
localhost via l'ip 127.0.0.1 sinon c'est un fake via une interface physique
Un dns peut renvoyer n'importe quoi, mais pour ssh c'est pas sensé passer si le reverse correspond pas.
Normalement fail2ban s'attache qu'aux interfaces physiques ?
Plus de logs bien détaillés ?
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: le vrai
Posté par Mathias Bavay (site web personnel) . Évalué à 2.
C'est bien au niveau DNS que cela se passe (en fait, au niveau du réseau dont vient l'attaque).
Comme mon ssh n'accepte que l’authentification par clefs, rien ne passe de toutes façons. De même, fail2ban est configuré pour n'utiliser la résolution DNS que pour ses logs, donc pas de risque non plus. Et le fait qu'il y ait un problème est correctement identifié, comme on le voit dans les logs:
dans auth.log:
Oct 27 22:19:03 XXX sshd[11113]: Address 117.2.125.216 maps to localhost, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
dans fail2ban.log:
2016-10-28 06:21:59,669 fail2ban.filter : WARNING Determined IP using DNS Lookup: localhost = ['127.0.0.1', '127.0.0.1']
Mathias
[^] # Re: le vrai
Posté par Dabowl_75 . Évalué à 2.
L'option UseDNS est valorisée à "no" par défaut depuis OpenSSH 6.8 :
OpenSSH
[^] # Re: le vrai
Posté par nono14 (site web personnel) . Évalué à 3.
+1, ça vaut le coup de le désactiver, ça coute cher une résolution dns, qui plus est pas fiable.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.