Documents techniques
Outils, protocoles et idées
Restriction de connexions SSH
Mise à jour le Lundi, 08 Février 2010 17:15
Il est souvent utile de pouvoir restreindre les possibilités d'un (ou de plusieurs) utilisateurs qui ont accès à un système via SSH. Le cas le plus courant est de n'autoriser que des transferts de fichiers, via scp ou sftp, et d'interdire toute connexion interactive. Il existe plusieurs outils pour cela, nous décrivons ici RSSH.
Principe de RSSH
Le principe sous-jacent à RSSH est simple : il s'agit d'un interpréteur de commandes, dont les fonctionnalités sont réduites à autoriser uniquement des transferts de fichiers (scp, sftp, cvs, rdist ou rsync). L'activation de RSSH se fait en le définissant comme interpréteur de commandes pour les utilisateurs concernés :
$ grep rssh /etc/passwd
restreint:x:1002:1003:Test Rssh:/home/restreint:/usr/bin/rssh
DomainKeys, DKIM
Mise à jour le Lundi, 25 Mai 2009 15:53
Principe de l'authentification des messages
Nous avons tous reçu des spams provenant en apparence de personnes que nous connaissons, soit directement, soit indirectement. Il faut savoir que rien, dans le protocole SMTP, ne permet spontanément d'authentifier l'émetteur d'un message. Rien n'est donc plus facile que d'envoyer un message électronique semblant émaner de untel AT domaine.tld.
Bien sûr, les spammeurs exploitent au maximum cette possibilité. Non seulement nous recevons des messages semblant provenir d'adresses "que nous connaissons" (ou pas), mais parfois nous recevons des notices de non-acheminement ou de rejet de messages que nous n'avons pas expédiés. Dans le premier cas, un spammeur se fait passer pour xyz AT domaine.tld pour vous écrire. Dans le second, il émet des messages portant votre adresse électronique en tant qu'émetteur.
Le principe de DomainKeys (DK) et de son évolution DomainKeys Identified Mail (DKIM) est de produire (à l'émission) ou de vérifier (à la réception) une signature cryptographique attachée à un message électronique. D'une manière similaire à Sender Policy Framework (SPF), DK/DKIM vise à authentifier un message électronique, non pas tant par rapport à l'auteur réel du message mais par rapport au domaine auquel l'émetteur se rattache. Ces outils permettent d'être certain qu'un message semblant provenir d'un certain domaine a bel et bien été émis par un serveur de messagerie de ce domaine, ou par un serveur dûment autorisé à émettre un tel message. Nous avons fait une présentation de SPF/DK.
DKIM met en place une authentification de bout en bout des messages électroniques, indépendante du chemin suivi par le message (relayage, réémissions, etc.).
Policy Daemon
Mise à jour le Jeudi, 18 Juin 2009 13:40
Policy Daemon est, comme son nom l'indique, un gestionnaire de politique de messagerie pour Postfix. Il offre les possibilités suivantes :
- listes grises, blanches ou noires,
- contrôle du volume par émetteur
- contrôle de la volumétrie par destinataire
- prise en compte de pièges à spam
- prise en compte des données HELO invalides
Cet outil permet donc de limiter le volume des spams et autres virus reçus sur un serveur de messagerie. Une autre note a présenté le principe des listes grises.
Le présent article décrit la version 1 de Policy Daemon.
sshdfilter
Mise à jour le Vendredi, 22 Mai 2009 20:31
Présentation de SshdFilter
Sshdfilter est un outil permettant de réagir, en temps réel, aux attaques en force brute sur les mots de passe du système, lorsqu'elles sont faites par des connexions répétées au serveur sshd. Il présente les caractéristiques suivantes :
- examen en temps réel du fichier de journalisation de ssh,
- blocage par des règles iptables,
- blocage suite à des erreurs ou échecs de connexion uniquement,
- blocage dès la première erreur pour l'accès à un compte inconnu ou d'autres erreurs fortement discriminantes.
Plus d'articles...
JPAGE_CURRENT_OF_TOTAL