			Blacklister les Ips indsirables 
			--------------------------------

Introduction : 
-------------- 

Il s'agit ici de blacklister (interdire) les Ips des machines qui tentent de 
s'introduire sur votre serveur ddi en utilisant des noms d'utilisateurs 
existant comme root, nobody etc... ou des noms bidons tels que guest, test, 
paul, jack etc...

Pour tenter de s'introduire ces hackers utilisent des robots qui tentent de se 
connecter sur le port shh (22) de votre machine.

Ce que nous voulons faire, c'est empcher ces pirates de poursuivre leurs 
tentatives en essayant des quantits importantes de mots de passe.

Notre espoir secret c'est de les voir se lasser et d'aller faire leurs 
tentatives ailleurs. Aussi la stratgie que nous utilisons, c'est le 
blacklistage d'une machine qui a fait plusieurs tentatives infructueuses de 
connexion.

Comme l'adresse Ip de la machine que nous voulons blacklister est peut-tre une 
adresse dynamique, au bout d'un certain temps, nous souhaitons pouvoir rtablir 
l'Ip en question.


Mthode utilise :
-----------------

Nous avons choisi la simplicit. Nous allons examiner le fichier de log qui 
enregistre les tentatives de connexion ssh puis au bout de quelques tentatives 
infrutueuses pour la mme Ip, nous allons gnrer une rgle de rejet de toute 
connexion TCP de l'Ip en question.

La machine indlicate ne pourra plus se connecter  quelque service que ce soit 
sur notre serveur, ni mme le pinguer. S'il y a un utilisateur devant l'cran de 
la machine pirate, il verra s'afficher un message du style "No route to host"

Au bout d'une dure que nous choisirons, nous allons rautoriser cette adresse 
Ip  se reconnecter en enlevant la rgle de rejet.

Pour des raisons de simplicit, nous avons choisi de scinder ces fonctionnalits 
en 4 scripts : 
- ssh-blacklist.sh quii lance la surveillance
- ssh-black.pl qui surveille le log et qui balckliste
- un-blacklist.sh qui lance priodique le d-blacklistage
- un-black.pl qui d-blackliste les Ips au bout de la dure choisie

Description :
------------

ssh-blacklist.sh

Script shell permettant de lancer ssh-black.pl en tche de fond et d'enregistrer 
un log des actions commises dans /var/log/blacklist.

ssh-black.pl

Ce script perl analye en temps reel le fichier /var/log/messages et detecte les
tentatives d'intrusion via ssh. Au bout de 3 (configurable) tentatives, l'adresse
IP est blackliste. Elle sera retablie par le script un-black.pl lanc par un
cron toutes les heures (par exemple). 

un-blacklist.sh

Script shell permettant de lancer un-black.pl en tche de fond depuis un cron 
et d'enregistrer un log des actions commises dans /var/log/blacklist.

un-black.pl

Ce script perl lanc par un cron priodiquement analyse les Ips blacklistes et
rtablit celles qui ont t blacklistes depuis plus longtemps que la dure 
d'interdiction choisie.


A Lire :
-------

Il se peut que vous-mme fassiez des erreurs de frappe successive en tapant 
votre mot de passe, ce qui aura pour consquence de blacklister (!!!) votre 
adresse Ip et de vous interdire de vous connecter  votre serveur. Si c'est le 
cas vous avez deux possibilits selon que vous avez une ip fixe ou pas : 
- Vous avez une ip fixe : pas de chance, la seule solution consiste  vous connecter 
depuis une autre machine sur le rseau ou bien ressortez votre vieux modem RTC 
et connectez-vous en RTC via free (par exemple).
- Vous n'avez pas d'ip fixe : dans ce cas vous pouvez tenter d'teindre votre modem 
adsl et d'attendre quelques minutes; avec un peu de chance votre provider va allouer 
l'ip que vous utilisiez  quelqu'un d'autre et va vous attribuer une autre ip quand 
vous allez vous recconnecter. Si a ne marche pas faites comme pour une ip fixe.

Si vous n'y arrivez vraiment, il ne vous reste plus qu'a aller chez un ami ou dans un
cyber caf pour vous reconnecter sur la machine.

Rassurez-vous selon le dlai de blacklistage que vous avez paramtr, votre ip 
sera  nouveau utilisable sitt ce dlai pass.