Re: Attaque sur modems Linux

Top Page

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
To: guilde
Subject: Re: Attaque sur modems Linux
    Bonsoir,

sly (sylvain letuffe) a écrit :

    Je ne réponds pas aux autres commentaires, car c'était ceux de
NightLoard qui étaient copiés/collés.


>>     Donc lors d'un attaque par force brute, la 3ème que j'ai indiqué plus
>> haut, il y a un réel risque pour les mots de passe "faibles".

>
> "réél" faut pas non plus sombrer dans la parano. J'utilise depuis longtemps
> des mots de passe aléatoire de 8 caractères uniquement en minuscules (plus
> simple à retenir) et je les considère comme suffisent.


    Tu utilises déjà 8 caractères (avec 26 possibilité par caractères). Ce
qui n'en fait pas un mot de passe "simple".


    Dans mon exemple de mot de passe faible, je ne prenais que 4 caractères.


> Reprenons ton calcul avec de nouvelles données :
> ( man sshd_config)
>
> - ssh par défaut n'autorise que 10 connexions simultanées non authentifiées
> - il attends 2 secondes après chaque échecs
>
> Ce qui donne à l'attaquant la possibilité de tester 5 mots de passe par
> secondes.
>    
> En supposant quand même qu'il va y arriver après n'avoir testé que la moitié
> (il a droit à un peu de chance quand même)
>
> Il lui faudra :
> 26^8/5/3600/24/365/2=662 années
>
> J'espère qu'il n'est pas pressé...


    Personnellement, j'ai réglé le problème des mots de passe : je
n'utilise pas de mot de passe pour le SSH...


    Non non, je ne suis pas fou : J'utilise les clés SSH. Mes
/etc/sshd_config ont ces 4 paramètres :


AllowUsers xxxx
PermitRootLogin no
PermitEmptyPasswords no
PasswordAuthentication no

    Explications :
- "AllowUsers xxxx yyyy" : Seuls les utilisateurs "xxxx" et "yyyy" sont
autorisés à se connecter. Ainsi, "root", "www-data", "proxy", etc... ne
peuvent de toute façon pas se connecter sur la machine


- "PermitRootLogin no" : Le root spécifiquement ne peut pas se
connecter. Or, c'est le seul compte qui se trouve sur (presque) toutes
les machines (exceptés les Ubuntu et quelques autres). Lorsque je dois
me connecter en root, sur une machine, je passe par xxxx, et je fais un "su"

- "PermitEmptyPasswords no" : Au cas où un distrait ne mettrait pas de
mot de passe, ceci le bloque

- "PasswordAuthentication no" : C'est l'élément clé. L'utilisateur xxxx
ne peut pas utiliser son mot de passe pour se connecter. Même avec un
mot de passe valide, il reste dehors.

    Alors, comment se connecter sur la machine ? En utilisant une paire de
clé SSH autorisées. Voir à ce sujet les transparents de ma dernière
conférence :
http://olivieraj.free.fr/fr/linux/information/prise_en_main_a_distance_avec_linux/presentation/img13.html
http://olivieraj.free.fr/fr/linux/information/prise_en_main_a_distance_avec_linux/presentation/img14.html


    Il suffit de placer sa clé publique (~/.ssh/id_xxx.pub) dans le
fichiers "~/.ssh/authorized_keys" de la machine sur laquelle ont veut se
connecter. Et l'accès n'est autorisé que pour le possesseur de la clé
privée (~/.ssh/id_xxx).


    Clé privée, dont on peut d'ailleurs restreindre l'accès via un mot de
passé, défini à sa création. Ainsi, le dit mot de passe ne sort JAMAIS
de sa machine.


    Bon, enfin : C'est fiable, jusqu'à ce que Debian ne fasse une grosse
"boulette" dans SSL, et que les clés générées puissent se faire usurper,
relativement, facilement :
http://www.guilde.asso.fr/lurker/message/20080513.211056.08ec9a75.en.html


    Cordialement,


                        Olivier


-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!