# [ssh] un poste ne marche pas a la maison

## pathfinder

bonsoir,

alors voila. mon poste principal est milkyway. sous gentoo. je peux m y connecter depuis n importe ou (exterieur ou interieur du reseau).

enfin presque.

depuis ma machine en gentoo du labo, atlantis, impecc.

depuis mon portable, pathfinder (le tout premier a avoir une gentoo), que ce soit dans le labo ou chez moi (donc en local), impecc aussi.

depuis un autre labo dans une autre fac, impecc aussi.

mais ma copine, windows... ca devient curieux:

je ne peux pas me connecter depuis son poste portable windows (SSHWInClent) en local (ni en externe).

pourtant je peux me connecter depuis son meme poste sur les labos. je pige pas ou est le probleme.

vous pourriez me dire ou ca coince?

voila un peu de details:

 *Quote:*   

> $ sudo ifconfig
> 
> eth0      Link encap:Ethernet  HWaddr 00:07:E9:E8:BA:F4  
> 
>           inet addr:192.168.1.35  Bcast:192.168.1.255  Mask:255.255.255.0
> ...

 

son PC depuis ligne de commande windows CMD me dit que son IP c est 

192.168.1.2

alors j ai mis comme nom de machine dans son windows: voyager (et oui, on garde le meme theme), je ne sais pas du tout quel groupe il fut mettre j ai donc laissé MSHOME, et voila mon /etc/hosts. (j ai jamais eu a me preoccuper de ca auparavant)

 *Quote:*   

> # /etc/hosts:  This file describes a number of hostname-to-address
> 
> #              mappings for the TCP/IP subsystem.  It is mostly
> 
> #              used at boot time, when no name servers are running.
> ...

 

----------

## geekounet

Ça donne quelle erreur quand tu essaie de t'y connecter ?

----------

## loopx

Donc, les 2 pc qui sont sencé pouvoir communiquer sont sur le meme reso ?

Donc, un ping avec le nom de domaine complet ou le nom de la machine (a partir de windows) doit fonctionner ???

Si oui, qu'elle est l'erreur de ssh ???

Tu peux tester un telnet histoire de voir si tu arrives à acceder au port:

```

loop-nb loopx # telnet localhost 22

Trying 127.0.0.1...

Connected to localhost.

Escape character is '^]'.

SSH-2.0-OpenSSH_4.5

Protocol mismatch.

Connection closed by foreign host.

```

Remplace localhost par l'ip ou le nom ou le nom de domaine complet du pc cible ...

Fait gaff que sous windows, si tu utilises le nom, ca risque de pas marcher... Par contre, le nom complet pourrait mieux fonctionner ... UNIQUEMENT SI tu as un serveur DNS AVEC une configuration pour ton reso local (si tu demande une machine qui est inconnue à ton serveur DNS, il tenverra bouler ...   meme avec le nom complet...   On ne configure pas un DNS dans un serveur en y placant le nom dans /etc/host ! )

Essaye avec ping... le nom et le nom complet ... si ca marche pas, essaye avec l'ip, ca marchera mieux...

Note encore que si le domaine et ton DNS existe et son bien régler, c'est peut etre un problème au niveau de Windows: si tu ping avec le nom simple de la machine, il va rajouter le domaine sur lequel il est ... et parfois, le domaine est pas réglé dans windows (ex: configuration manuel et non automatique de la carte réso). Dans ce cas, seul le nom complet du domaine fonctionnera  :Wink: 

Ah, j'en profite pour foutre la honte à windows... Et oui... Il faut redémarrer la machine pour changer le nom de domaine .......

----------

## pathfinder

pardon pour ce retard... d autres sujets etaient plus importants...

il n y a pas d erreur: en realte, il me demande mon password, (je le tape correctement), puis me le redemande, et ainsi de suite...

Le ping depuis CMD marche vers ma machine centrale. (en mettant l IP du reseau interne, 192.168.1.2)

mais si je mets l IP a lquelle le ping repond.... (ci dessus), il y a erreur (host inexistant ou mauvais protocole? je sais plus, j ai plus le PC sous less yeux, et il est "parti" avec ma cherie)

desole pour si peu de details...

les 2 PC sont sur le meme reseau?:--.... euh... ils sont raccordes au meme routeur chez moi, en DHCP automatique, sauf que si ceux en Linux ont des addresses 192.168.1.35, 36, 37, 38... sous win, c est 2 le dernier chiffre.

sont ils sur le meme reseau?

Quel nom de groupe dois-je mettre sous windows?

----------

## nico_calais

 *Quote:*   

> sont ils sur le meme reseau? 

 

EDIT : S'ils sont derriere ton routeur, ils sont sur le même réseau local.

A partir de quel nom d'utilisateur tu essaies de te connecter en ssh ?

Le truc, c'est que par défaut, lorsque tu fais "ssh trucmuche", tu te connectes avec le nom d'utilisateur du client. Donc si sur ton serveur, ce om n'existe pas, tu pourras jamais te connecter dessus.

Donc, pour te connecter avec le bon nom d'utilisateur : ssh utilisateur_serveur@trucmuche

Il se peut aussi que tu essaies de te donnecter en root et que sur ton serveur ssh soit configuré pour interdir toute connexion à partir du compte root.

----------

## Bapt

Es tu sur que la connexion en ssh fonctionne (ie log ssh dans /var/log/messages)

Si oui il dois au même endroit te dire pourquoi il refuse la connexion et te demande de repasser ton mdp.

----------

## pathfinder

 *Quote:*   

> Feb 25 20:15:57 milkyway sshd[9257]: Did not receive identification string from 86.151.95.6
> 
> Feb 27 18:27:08 milkyway sshd[13021]: Did not receive identification string from 12.149.67.178
> 
> Feb 27 18:30:01 milkyway cron[13026]: (root) CMD (test -x /usr/sbin/run-crons && /usr/sbin/run-crons )
> ...

 

bon j arrete

en rouge je dirais que c est le message qui nous concerne...

le reste... ca m inquiete, .... je fais quoi?

----------

## pathfinder

sinon je sais que le user est moi

j utilise constamment ssh et j ai tente en root et en user MOI et en user user2- rien a faire...

----------

## Bapt

Tous tes logs c'est des attaques brute force sur ssh, tu ferai bien de mettre un firewall avec anti brute force. Je ne sais pas le faire sous iptables (J'aime pas me faire mal à la tête, donc j'utilise pf sous OpenBSD), mais je sais que ça se fait. Concernant ton erreur en rouge je ne voie pas, mais il semblerait bien que tu essaye de te connecter avec le user "test" c'est normale ?

----------

## pathfinder

hein!?

mettre un firewall avec antibrute force? je pige rien!

je n ai pas de firewall a part sur le routeur... c est reloud, a chaque fois un nouveau truc.

je fais comment alors?

----------

## Bapt

regarde ça : http://mysecureshell.sourceforge.net/fr/securessh.html en Français.

Premier lien intéressant sur google (brute force iptables) mais des utilisateurs de iptables ici t'expliqueront mieux que moi.

Concernant ton problème initial, est ce normal que tu tente de connecter en tant qu'utilisateur "test"

----------

## pathfinder

ok

je lisais un how to iptables avec gentoo... en fait 2: le newbies et le complet...

une derniere petite question: ils ont reussi a rentrer? (je lis de ce pas le tuto)

pour mon probleme,... non, non, non, jamais je n ai tente de me loguer en TEST, je tente toujours avec mon username. c est bizarre.

----------

## Bapt

 *pathfinder wrote:*   

> une derniere petite question: ils ont reussi a rentrer? (je lis de ce pas le tuto)

 

Apparemment pas

 *pathfinder wrote:*   

> pour mon probleme,... non, non, non, jamais je n ai tente de me loguer en TEST, je tente toujours avec mon username. c est bizarre.

 

Bah c'est de ce côté là que ce pose ton problème, donc tu côté client. Essaye avec putty pour voir et si tu veux garder le client que tu utilise actuellement regarde sa conf, mais ta gentoo n'a rien à voir avec le problème.

----------

## pathfinder

ok je puttye.

et je place mon firewall avec iptables, et je sens les merdes avec mes connections ssh mon routeur, l exterieur, amule, etc...

m enfin on verra

----------

## pathfinder

putty ne marche pas. 

j avais deja essaye

----------

## Bapt

 *pathfinder wrote:*   

> putty ne marche pas. 
> 
> j avais deja essaye

 

Et les logs qui vont avec, ca donne quoi ?

----------

## pathfinder

 *Quote:*   

> Mar 28 17:12:26 milkyway sshd[16681]: Did not receive identification string from 220.225.130.245
> 
> Mar 28 17:20:01 milkyway cron[16688]: (root) CMD (test -x /usr/sbin/run-crons && /usr/sbin/run-crons )
> 
> Mar 28 17:21:41 milkyway sshd[16700]: Invalid user staff from 220.225.130.245
> ...

 

oups pardon...

----------

## Bapt

Ces lignes là ne correspondent à rien dans tes logs, c'est des tentatives de connexions depuis l'extérieure il nous faut les logs ayant pour ip ton ordi client.

De plus que te dit ton putty comme message ou que fait il quand tu dis qu'il ne marche pas ?

----------

## pathfinder

putty me dit Access Denied

quand tu dis le message de log, c est bien la machine sur laquelle j essaie de me connecter, non?

parce que l autre est sous windows...

ca ne dit absolument rien dans la machine que j essaie de joindre au niveau de /var/log/messages

 *Quote:*   

> 
> 
> Mar 28 19:50:01 milkyway cron[31927]: (root) CMD (test -x /usr/sbin/run-crons && /usr/sbin/run-crons )
> 
> Mar 28 20:00:01 milkyway cron[31946]: (root) CMD (test -x /usr/sbin/run-crons && /usr/sbin/run-crons )
> ...

 

sachant que le test je l ai fait a 20h01 ou 20:02 en heure locale...

dmesg ne registre rien non plus

----------

## Bapt

Donc tu n'arrives pas a te connecter du tout à ta machine, 

que te donne la proposition de loopx (depuis le windows)

```
loop-nb loopx # telnet localhost 22

Trying 127.0.0.1...

Connected to localhost.

Escape character is '^]'.

SSH-2.0-OpenSSH_4.5

Protocol mismatch.

Connection closed by foreign host. 

```

----------

## pathfinder

je ne peux plus le faire maintenant car le PC de ma copine est pas la, et je veux plus le toucher, car mon portable et le PC du boulot sont tous les 2 morts cette semaine, et c est pas que je sois maudit, mais mieux vaut ne pas tenter le diable...

bon, je sais qu il y a plusieurs posts a ce sujets, et tous renvoient a d autres posts, mais moi je trouve pas la solution pour le brute forcing

http://blog.andrew.net.au/2005/02/16

il y a aussi le lien que tu m as file.

en fait, je cree une whitelist, c est ok avec -N.

puis je fais un iptables.bak avec le tuto de gentoo pour newbies (et en lisant aussi un peu le tuto complet)... car je veux pouvoir bloquer le plus vite possible ces attaques.

j ai fait un whois et contacte l ISP pour voir s ils peuvent faire quelque chose a ce niveau.

MAis j aimerais stopper immediatement ces conneries.

voila donc mon fichier /etc/iptables.bak

apres je fais un iptables-restore /iptables.bak

mais ca plante suivant l ajout des lignes contre le brutforcing...

je veux pas utiliser denyhosts et je veux pas prendre un script sur le web, je prefere la classic way avec iptables  d autant que ca devrait marcher. Merci d en tenir compte dans vos reponses... meme si je suis pret a tout ecouter.

 *Quote:*   

> # iptables-restore /etc/iptables.bak
> 
> iptables-restore v1.3.5: Couldn't load target `SSH_WHITELIST':/lib/iptables/libipt_SSH_WHITELIST.so: cannot open shared object file: No such file or directory
> 
> Error occurred at line: 18
> ...

 

OK ca c est parce que la whitelist il connait pas ou elle est vide.

 *Quote:*   

> # ls /lib/iptables/libipt_S*
> 
> /lib/iptables/libipt_SAME.so  /lib/iptables/libipt_SNAT.so
> 
> 

 

ce qui est normal, car...

 *Quote:*   

> # Generated by iptables-save v1.2.11 on Tue May 10 08:06:58 2005
> 
> *filter
> 
> :INPUT ACCEPT [5:952]
> ...

 

les lignes en rouge font planter. soit il indique apres une erreur a la toute fin du fichier, soit il ne connait pas l option "recent" dans l instruction :

 *Quote:*   

> # iptables -A SSH_WHITELIST -s milkyway -m recent --remove --name                         SSH -j ACCEPT
> 
> iptables: No chain/target/match by that name
> 
> milkyway #
> ...

 

du coup il peut pas creer la whitelist et donc il peut pas charger les regles correctes... mais je fais comment?

tout le monde indique la meme chose sur le web...

je sais pas quoi mettre dans "hosts". le hostname de ma machine est 

 *Quote:*   

> # hostname
> 
> milkyway
> 
> # domainname
> ...

 

dans les pages webs et tutoriaux, il y figure ceci:

 *Quote:*   

> iptables -A SSH_WHITELIST -s $TRUSTED_HOST -m recent --remove --name SSH -j ACCEPT

 

je mets quoi en rouge?

 *Quote:*   

>  recent
> 
>        Allows  you  to  dynamically create a list of IP addresses and then match against that
> 
>        list in a few different ways.
> ...

 

je vois pas pourquoi il accepte pas cette option...

des que je peux faire un telnet, je le fais!

----------

## dapsaille

J'ai lu en diagonale ce thread mais ...

 tu est en lan .. et tu te fait bruteforcer ton linux ... et tu essaye de te logguer avec un windows ... heuu quitte à y aller franco (de port) teste un livecd windows sur la machine windows et utilise putty pour voir

 ca sens la machine pourrie la .. 

si ton linux est attaqué ton windows lui à sauté (tm)

Et heuu au fait tes users pourquoi ils ont des ip wan si tu es en lan ??   :Wink: Last edited by dapsaille on Thu Mar 29, 2007 9:35 pm; edited 1 time in total

----------

## boozo

'alute

/me lu en diagonale également mais j'ai matché sur brute force et ssh : l'avez oublié lostcontrol et son fameux net-analyzer/fail2ban ?   :Wink: 

----------

## pathfinder

tu est en lan .. et tu te fait bruteforcer ton linux ... et tu essaye de te logguer avec un windows ... heuu quitte à y aller franco (de port) teste un livecd windows sur la machine windows et utilise putty pour voir     Quelle machine? le portable windows de ma copine a partir duquel ca passe pas en SSH depuis windows? ou sur le windows de ma machine a moi que j utilise essentiellement en linux?

ca sens la machine pourrie la ..  pourrie =?      et laquelle? lamienne en linux ou celle de ma copine en windows? la mienne a aussi windows, que j utilise jamais...

si ton linux est attaqué ton windows lui à sauté (tm)     Mon windows a sauté? ca veut dire quoi? il a été pénétré? c est ca? c est possible car je l utilise jamais (peut etre ma copine) et il a pas d anticirus ni d anti espions ni de firewalll (be oui, je m en tape vu que les seules fois ou je l utilise c etait pour la teloche, et je debranchais SYTEMATIQUEENT le reseau alors. il est actualise sous windows quand meme. donc je voyais pas comment quelqu un pourrait rentrer... puisque windws => reseau debranche

Et heuu au fait tes users pourquoi ils ont des ip wan si tu es en lan ??  :Wink:  A quoi tu vois ca?!! j ai pas d ip WAN, si? c est lesquelles? les .35, .36, etc?

ca a toujours ete comme ca, la 39 etant celle du wifi quand je l avais

je pige rien!!!

tu veux dire quoi???

edit: fail2ban... le probleme est que ca bannit les IP qui tentent et se repetent... mais etant en dhcp... ma liste d IP bannies tendra vers l infini... c est pas la bonne strategie je pense.

serieux, vous croyez que j ai sur MA machine en windows un virus? (jamais alle sur le net avec)

mes donnees precieuses donnees sont sur un disque externe en EXT3 (pas folle la bete): ce virus pourrait les endommager?

----------

## geekounet

 *pathfinder wrote:*   

> edit: fail2ban... le probleme est que ca bannit les IP qui tentent et se repetent... mais etant en dhcp... ma liste d IP bannies tendra vers l infini... c est pas la bonne strategie je pense.

 

Il ne ban pas pour un temps indéfini, par défaut il ban pour 10 minutes. Et le fait que tu soit en DHCP ou non ne change rien au nombre d'IP bannies  :Razz: 

(enfin perso, un Packet Filter bien configuré, ya que ça de vrai  :Very Happy: )

----------

## dapsaille

 *pathfinder wrote:*   

> tu est en lan .. et tu te fait bruteforcer ton linux ... et tu essaye de te logguer avec un windows ... heuu quitte à y aller franco (de port) teste un livecd windows sur la machine windows et utilise putty pour voir     Quelle machine? le portable windows de ma copine a partir duquel ca passe pas en SSH depuis windows? ou sur le windows de ma machine a moi que j utilise essentiellement en linux?
> 
> 

 

 Sur le windows duquel tu cherche à te connecter .. pas celui de ta machine 

 *pathfinder wrote:*   

> 
> 
> ca sens la machine pourrie la ..  pourrie =?      et laquelle? lamienne en linux ou celle de ma copine en windows? la mienne a aussi windows, que j utilise jamais...
> 
> 

 

 La machine qui tente de se connecter en ssh sur la tienne

 *pathfinder wrote:*   

> 
> 
> si ton linux est attaqué ton windows lui à sauté (tm)     Mon windows a sauté? ca veut dire quoi? il a été pénétré? c est ca? c est possible car je l utilise jamais (peut etre ma copine) et il a pas d anticirus ni d anti espions ni de firewalll (be oui, je m en tape vu que les seules fois ou je l utilise c etait pour la teloche, et je debranchais SYTEMATIQUEENT le reseau alors. il est actualise sous windows quand meme. donc je voyais pas comment quelqu un pourrait rentrer... puisque windws => reseau debranche
> 
> 

 

Non, je ne pense pas que ton windows sois concerné (ton=celui de ton disque dur qui cohabite avec ton linux)

 *pathfinder wrote:*   

> 
> 
> Et heuu au fait tes users pourquoi ils ont des ip wan si tu es en lan ??  A quoi tu vois ca?!! j ai pas d ip WAN, si? c est lesquelles? les .35, .36, etc?
> 
> ca a toujours ete comme ca, la 39 etant celle du wifi quand je l avais
> ...

 

Mar 5 23:09:28 milkyway sshd[7340]: Invalid user test from 85.131.202.32 

 Ces ip ne sont pas lan .. ou alors frappez moi pour avoir dormi pendant les cours 

 *pathfinder wrote:*   

> 
> 
> je pige rien!!!
> 
> tu veux dire quoi???
> ...

 

----------

## pathfinder

MERCI A TOUS... la lutte continue...

1/ que peut il se passer sur le poste windows a partir duquel j essaie de me connecter? un AV a jour, un pare feu, une analyse, des updates... pas de sites tordus visites... qu est ce que ca peut etre?

2/ surtout ca qui est important: 

je me bats avec le pare feu: en realite le probleme etait que dans mon kernel je n avais pas le module ou built RECENT, du coup, il comprenait pas.j ai recompile, il ne se plaint plus de recent, mais maintenant, il y a une erreur qui revient tout le temps.

en gros, mon /etc/iptables.bak:

 *Quote:*   

> # Generated by iptables-save v1.2.11 on Tue May 10 08:06:58 2005
> 
> *filter
> 
> :INPUT ACCEPT [5:952]
> ...

 

apres ca je fais un 

```
 # iptables-restore /etc/iptables.bak

iptables-restore v1.3.5: Couldn't load target `SSH_WHITELIST':/lib/iptables/libipt_SSH_WHITELIST.so: cannot open shared object file: No such file or directory

Error occurred at line: 18

Try `iptables-restore -h' or 'iptables-restore --help' for more information.

```

mais je pige pas pourquoi...

en effet, ce fichier n y est pas. /lib/iptables/libipt_SSH_WHITELIST.so

j ai pourtant bien cree ma whitelist, avec

 *Quote:*   

>  # iptables -N SSH_WHITELIST
> 
> iptables: Chain already exists
> 
> 

 

Et j y ai mis mes host acceptes dessus, cf ceci:

 *Quote:*   

> # iptables -L SSH_WHITELIST
> 
> Chain SSH_WHITELIST (0 references)
> 
> target     prot opt source               destination         
> ...

 

avec comme exemple la commande

 *Quote:*   

> iptables -A SSH_WHITELIST -s milkyway -m recent --remove --name SSH -j ACCEPT
> 
> 

 

Je ne sais pas si ca fait effet, je ne crois pas puisqu il ne veut pas faire de 

iptables-restore /etc/iptables.bak

Il y a un truc que je fais pas bien?

3/ comme vous pouvez le constater, les regles pour emule sont bizarres. j ai tente les 3 premieres, ca ne marche pas. 

les 3 suivantes (/etc/init.d/iptables restart) et ca ne marche pas non plus.

les 6 en meme temps (je sais c est con) et tirne a faire..

je ne comprends pas pourquoi, avant ca marchait sans problemes...

 *Quote:*   

> # nmap -p 4665 milkyway
> 
> Starting Nmap 4.20 ( http://insecure.org ) at:00 CEST
> 
> Interesting ports on milkyway.chezmoi.dyndns.org (192.168.1.35):
> ...

 

J ai la sensation que amule est rejete car je l ai ajoute apres. c est possible?

----------------------------------------------------------------------------------------------------------------------

je sais qu il y a apas mal de posts a ce sujet, mais je lis et je lis des manuels, et je pige pas ce qu il se passe, tout a l air si simple, le module recent est ok, mais il doit me manquer un truc qui m echappe. je vois pas quoi...

----------

## pathfinder

histoire de ne pas tout melanger, j ai ouvert un post a propos du brute forcing ici:

https://forums.gentoo.org/viewtopic-t-551920-highlight-.html?sid=6d09313e25594529e46caa8ca9bb76c7

Quant au telnet que je dois tenter, des que ma copine revient avec son portable, j essaierai et vous dirai quoi!

----------

