Comment créer un pot de miel SSH pour attraper les pirates sur votre serveur Linux

ssh Honeypot trap hacker
⏱️ 9 min read

Si vous avez déjà consulté les journaux d’authentification de votre serveur, vous savez que tout serveur connecté à Internet subit un barrage constant de tentatives de connexion de la part de pirates.

Même si votre serveur est un serveur de loisir complètement inconnu, des scripts automatisés le trouveront et essaieront continuellement de forcer brutalement leur chemin en utilisant SSH. Bien qu’ils ne soient pas susceptibles d’entrer tant que vous utilisez des mots de passe complexes ou d’autres mesures de sécurité, il y a toujours une chance qu’ils réussissent.

Heureusement, il existe un moyen utile et amusant de piéger ces pirates dans votre serveur et de les distraire trop pour causer des problèmes.

Qu’est-ce qu’un pot de miel SSH ?

Pour le dire simplement, un pot de miel SSH est un leurre destiné à ressembler à un fruit à portée de main pour attirer les cybercriminels et les inciter à le cibler. Mais ce n’est pas une cible réelle, et le pirate informatique ne s’en rend souvent pas compte avant qu’il ne soit trop tard.

Ssh pot de miel

Un pot de miel peut prendre de nombreuses formes et avoir de nombreuses utilisations différentes. Parfois, ils ne sont guère plus qu’une distraction, mais d’autres fois, ils sont utilisés pour recueillir des informations sur l’attaquant.

De nombreuses agences gouvernementales utilisent des pots de miel pour attraper les criminels, les incitant à attaquer, uniquement pour recueillir des informations sur eux afin de les attraper plus tard. Mais les pots de miel peuvent également être utilisés par les administrateurs système travaillant pour des entreprises ou même simplement par des amateurs qui utilisent un serveur Linux pour le plaisir.

Pourquoi utiliser un pot de miel SSH ?

Il existe de nombreuses raisons pour lesquelles quelqu’un peut vouloir implémenter un pot de miel SSH sur son serveur. Dans certains cas, vous voudrez peut-être l’utiliser pour bloquer toute future connexion. Peut-être souhaitez-vous simplement les éloigner des cibles réelles de votre système. Ou cela peut être à des fins éducatives : pour aider à comprendre comment fonctionnent les attaques.

Pour les besoins de ce guide, nous utilisons principalement le pot de miel comme distraction. Plus précisément, cela empêchera le pirate d’attaquer les parties les plus vulnérables de votre serveur et les gardera trop occupés pour attaquer le serveur de quelqu’un d’autre.

Et, dans ce cas au moins, la méthode utilisée sera également bonne pour rire ou deux.

Pris au piège dans SSH

Essentiellement, ce que nous voulons faire, c’est piéger le pirate lorsqu’il tente de forcer brutalement la connexion SSH. Il existe plusieurs façons de le faire, mais l’une des plus simples consiste à leur envoyer lentement une très longue bannière SSH.

De cette façon, le script automatisé du pirate sera bloqué en attendant une bannière. Cela peut durer des heures, voire des jours ou des semaines. Étant donné que le script est automatisé, le pirate n’y prête probablement pas beaucoup d’attention et ne remarquera pas qu’il est bloqué avant que beaucoup de temps ne se soit déjà écoulé.

Ceci est parfois appelé de manière ludique un “tarpit SSH”, car le script du pirate informatique s’y coince et ne peut pas s’en sortir tout seul.

Cela nécessite que vous connaissiez l’utilisation de base de SSH. Si vous ne savez pas comment utiliser SSH, lisez ce guide pour commencer.

sans fin

Le programme que nous utilisons pour accomplir cela s’appelle sans fin et est fabriqué par skeeto.

Pot de miel sans fin Github

Une fois que vous êtes connecté à votre serveur, clonez le référentiel. (Vous devez avoir git installé.)

git clone https://github.com/skeeto/endlessh

Maintenant que vous avez le référentiel sur votre serveur, vous devez basculer vers ce répertoire et le compiler.

cd endlessh
make

Certaines erreurs peuvent survenir lors de la compilation du programme. Cela signifie très probablement qu’il vous manque une dépendance que le programme doit compiler. Vous devrez vérifier quelle dépendance est manquante, puis l’installer avec le gestionnaire de packages de votre distribution.

Une fois que vous avez le programme à compiler, vous voudrez le déplacer dans votre répertoire bin afin qu’il soit dans votre chemin.

sudo mv endlessh /usr/local/bin

Vous voudrez revérifier pour vous assurer qu’il est détecté dans votre chemin.

which endless

Il devrait imprimer le/usr/local/bin/endlessh chemin. Si ce n’est pas le cas, assurez-vous qu’il a été déplacé dans le bon répertoire.

Ssh Honeypot Qui Sans Fin

Après cela, transformez le programme en démon de service afin qu’il puisse fonctionner comme un systemd service.

sudo cp util/endlessh.service /etc/systemd/system/

une fois cela terminé, activez le service pour qu’il s’exécute en arrière-plan.

sudo systemctl enable endlessh
Ssh Honeypot Systemctl Activer sans fin

Par défaut, unlimitedh ne fonctionnera que sur les ports supérieurs à 1024, mais nous voulons qu’il utilise le port SSH par défaut afin que nous puissions tromper les pirates en essayant de l’attaquer. Pour ce faire, nous devons éditer le fichier de service.

Cet exemple utilise nano pour modifier le fichier de configuration, mais n’hésitez pas à utiliser l’éditeur de texte de votre choix.

sudo nano /etc/systemd/system/endlessh.service

Une fois le fichier ouvert, décommentez la ligne suivante en supprimant le caractère # :

#AmbientCapabilities=CAP_NET_BIND_SERVICE

Ajoutez ensuite un # au début de cette ligne :

PrivateUsers=true
Fichier de service Honeypot Endlessh

Enregistrez le fichier et exécutez cette commande :

sudo setcap 'cap_net_bind_service=+ep' /usr/local/bin/endlessh

Vous devrez créer et paramétrer un fichier de configuration pour qu’infinity sache sur quel port il doit s’exécuter. Vous devrez d’abord lui créer un nouveau répertoire, puis créer le fichier de configuration.

sudo mkdir -p /etc/endlessh
sudo vim /etc/endlessh/config

Le fichier de configuration n’aura besoin que d’une seule ligne. Cela indiquera à l’infini de s’exécuter sur le port 22, qui est le port par défaut pour SSH. Nous faisons cela pour que ce soit une cible plus attrayante pour les pirates. Ils verront que le port SSH par défaut est ouvert, puis essaieront de s’y introduire.

Entrez ce qui suit dans votre fichier de configuration :

Port 22
Configuration sans fin du pot de miel

Vous devrez démarrer le service sans fin.

sudo systemctl start endlessh

C’est tout ce qu’on peut en dire! Vous aurez maintenant une exécution sans fin sur votre port SSH par défaut et piégerez déjà les pirates.

Tester

Juste pour vous assurer que le pot de miel fonctionne comme prévu, faisons semblant d’être un pirate informatique pendant une seconde et essayons d’accéder à SSH sur votre serveur.

ssh root@<server-ip-address>

Tant que tout a été configuré correctement, vous devriez voir que le ssh la commande est bloquée et ne fait rien. Jetons un coup d’œil pour voir ce qui se passe réellement lorsque vous (ou un véritable pirate informatique) lancez cette commande.

Répétez la même commande mais ajoutez le -vvv flag pour utiliser l’option détaillée.

ssh -vvv root@<server-ip-address>
Test Ssh du pot de miel

Il devrait maintenant être évident à quel point ce petit outil vous piège et vous empêche d’accéder à SSH sur votre serveur. Il envoie lentement, ligne par ligne, une très grande bannière SSH au client.

Et bien sûr, puisqu’un hacke a automatisé cela avec un bot, il ne réalisera que cela se produit qu’après que vous ayez perdu des heures, voire des jours, de son temps.

Questions fréquemment posées

1. Cela empêchera-t-il les pirates d’accéder à SSH ?

Bien que ce soit un assez bon moyen de dissuasion, il n’est pas garanti d’arrêter complètement les pirates. Un pirate attentif remarquera éventuellement que vous avez créé un pot de miel sur votre serveur et peut essayer différents ports pour accéder à SSH sur votre serveur.

Cependant, cela devrait suffire à empêcher les pirates qui ne recherchent que les fruits à portée de main.

2. Comment utiliser SSH si ce programme s’exécute sur le port par défaut ?

Vous devrez changer le port sur lequel SSH s’exécute. C’est une bonne pratique même si vous n’aviez pas de pot de miel sur votre serveur, car les pirates essaieront toujours les ports par défaut avant d’en rechercher d’autres.

3. Existe-t-il d’autres options que je peux ajouter au fichier de configuration ?

Oui, il existe plusieurs autres paramètres que vous pouvez modifier, y compris la vitesse de retard.

Vous pouvez voir une liste d’options dans l’exemple de fichier de configuration sur le dépôt Github.

Derniers mots

Maintenant que vous avez appris à mettre en place un pot de miel sur votre serveur pour piéger les pirates et les distraire afin qu’ils ne puissent plus attaquer quoi que ce soit d’autre, c’est loin d’être le seul moyen de sécuriser l’accès SSH à votre serveur.

Consultez cet article expliquant comment utiliser les clés de chiffrement pour vous connecter à SSH afin de sécuriser davantage votre serveur.

Crédit image : Miel en pot, nid d’abeille et bâton par Yay Images

Join our Newsletter and receive offers and updates! ✅

0 0 votes
Article Rating
Avatar of Routech

Routech

Routech is a website that provides technology news, reviews and tips. It covers a wide range of topics including smartphones, laptops, tablets, gaming, gadgets, software, internet and more. The website is updated daily with new articles and videos, and also has a forum where users can discuss technology-related topics.

Vous aimerez aussi...

S’abonner
Notification pour
guest
0 Comments
Commentaires en ligne
Afficher tous les commentaires
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x