[kuniyoshi]

Bonjour  

Si cela peut vous donner des idées, tant mieux ! C'est ici.

L'avantage que je vois de Perl sur Python, c'est que ce langage est dans la base system de notre OS préféré.

[solene]

Salut

Il y a déjà plusieurs packages pour gérer ça, j'aime bien sshlockout qui se branche sur une sortie log de syslog et ajoute automatiquement dans une table pf les erreurs de connexions après quelques tentatives.

[prx]

Tiens tiens, sshlockout, je m'en vais le tester

[prx]

Oh, mais sshlockout, c'est comme sshguard, mais que pour le port 22 en fait

[kuniyoshi]

@Solène : Merci pour cette information.

Sinon, je cherche plutôt (à créer) un script en Perl utilisable (presque) directement (à la vilain de thuban) avec la base d'OpenBSD, sans logiciels tiers donc. D'où ma remarque ci-dessus.

[prx]

En perl ?
En fait, un grep périodique sur tes logs, lancés par un crontab (par exemple), peut suffire ^^

[solene]

on peut effectivement faire un cron qui parse des logs pour ajouter dans pfctl

Code :

grep -E "(liste|de|patterns)" fichiers de log | truc_qui_recupe_l'ip_seulement | xargs pfctl -T add -t table

ou sinon on peut faire plusieurs suites de grep sur différents logs pour ajouter ça dans pf

Code :

(
  grep pattern fichier_de_log 1 | script_qui_recupere_ip ;
  grep pattern2 fichier_de_log2 | script_qui_recupere_ip ;
  grep pattern3 fichier_de_log3 | script_qui_recupere_ip ;
) | xargs pfctl -T add -t table

[eol]

On peut aussi le faire en temps réel en utilisant le pipe directement dans syslog.conf

Code :

facility.level    |/le/script/qui/filtre

[prx]

@eol : je t'aime !

Je vais virer vilain et python quand j'aurais un peu scripté tout ça

[solene]

On peut aussi le faire en temps réel en utilisant le pipe directement dans syslog.conf

Code :

facility.level    |/le/script/qui/filtre

c'est ce que fait sshlockout Ce logiciel vient du système de base de dragonfly bsd, mais il n'est pas dans la base d'openbsd

[prx]

Super
Je vais sûrement me l'approprier pour l'étendre à smtpd, dovecot et httpd.

[kuniyoshi]

Bonsoir  

Merci pour toutes ces informations. Je sais bien que l'on peut utiliser autre chose que Perl. Le seul "souci"... c'est que, depuis l'année dernière (et je n'ai actuellement pas assez de temps pour m'y mettre vraiment, mais j'y réfléchis toujours, je lis aussi), j'ai décidé d'apprendre à utiliser Perl (dans sa version 5) pour remplacer (avantageusement, du moins je l'espère), mes scripts shell (utilisant notamment grep, sed, ...).

De plus, le fait que Perl 5* soit dans la base d'OpenBSD me plait bien, car j'aimerais installer/configurer des parefeux et/ou des serveurs le plus proche possible du projet officiel (et donc avec le moins possible de paquets tiers).

Voilà. Merci encore une fois pour vos remarques. Je les note.

[eol]

@eol : je t'aime !

Je

Code :

print rougis |sed 's/r/s/;s/g/r/'

derrière mon clavier.

Il y a aussi quand on cherche juste à stopper la brutalité
sans préciser laquelle, la directive "max-src-conn-rate" de pf.conf

Code :

man pf.conf
:t max-src-conn-rate # puis touche entrée

Il y a un exemple juste à la fin de la description
détaillée de ce tag. Efficace par exemple contre les robots qui essaient
sur le serveur web un maximum de combinaison à base de :
"admin","my","php","sql" en un minimum de temps.

[kuniyoshi]

Il y a déjà plusieurs packages pour gérer ça, j'aime bien sshlockout qui se branche sur une sortie log de syslog et ajoute automatiquement dans une table pf les erreurs de connexions après quelques tentatives.

@Solene : Ok. Je n'avais pas bien saisi pour quelle raison tu appréciais sshlockout. Là je viens de comprendre, vu que c'est toi qui maintiens ce paquet tiers !

Respect. (Je vais le tester.)