Le mercredi 23 mars 2005, à 11:56:18, SULEK Nicolas DSIC BA écrivait : > > [EMAIL PROTECTED] a écrit : > > >Hello, > > > > > > > >>Bonjour, > >> > >>Ci-après le contenu de deux logchecks de ce matin. Il me semble > >qu'il >s'agit de tentatives (infructueuses:) de se loguer sur ma > >machine via >ssh. > >> > >>Quelqu'un peut-il m'indiquer comment je devrais réagir en termes de > >>sécurisation, identification (commandes) et répression (abuse)? > >> > >> > > > >1/ Ne pas permettre de se logguer directement root en SSH > >2/ Mettre les IPs dans le host.deny > >3/ Tracer les IPs > >4/ Surveiller les logs > >5/ Mailer le provider de l'IP > >6/ Garder les logs > > > >Voilà ce que je peux te dire. Il y a certainement d'autres choses à > >faire ;) > > > >++ > > > > > > > on peut aussi changer le port de ssh, ça permet d'éviter pas mal de > scripts dans ce genre. > > > Ministère de l'Intérieur > SG/DSIC/SDEL/BA > Pôle Architecture Technique > >
Merci pour vos réponses, donc dans l'ordre: 1/ ok déjà fait. su,sudo,sux sont là pour ça 2/ c'est vrai que les IP dynamiques changent de moins en moins souvent, mais est-ce que ce n'est pas un peu radical comme solution? ou alors temporairement (1 jour/mois/an?). 3/ Pour le premier: traceroute 211.176.33.46 ... 13 so-0-0-0.mpr3.pao1.us.above.net (64.125.27.81) 179.499 ms 226.335 ms 179.101 ms 14 208.185.161.164.hanaro.com (208.185.161.164) 236.438 ms 223.844 ms 198.113 ms ... et je le touche au 19ème saut Pour le second: traceroute 62.193.236.45 ... 5 wpc0616.amenworld.com (62.193.236.45) 41.739 ms 44.809 ms 41.366 ms 4/ d'où ce fil 5 et 6/ avec les logs en pj, ok Réduire l'utilisation en local : pas possible pour moi, j' ai un 'trusted network', ssh ne me sert que via internet. Changer le port d'écoute: comment le choisir? < ou >1024? selon /etc/services? Bannière: désactivée par défaut. Connexion sans clés: ok, mais le StrictHostKeyChecking sur des IP dynamiques, c'est pas toujours facile.