Machine scanée, tentatice d'accès p ar ssh dénié et relay smtp refusé

[Christophe Lincoln]

Bonjour la liste,

2 petites quetions, ma machine serveur est régulièrement scannée, 

et je reçois des rapports régulier de logcheck m'avertissant de tentatives
d'accès echouées par ssh, avec des nom d'utilisateur divers ( des milliers).

Voici un bout du rapport de logcheck concernant ssh.

System Events
=-=-=-=-=-=-=
Nov  2 15:03:55 localhost sshd[619]: scanned from ::ffff:83.16.166.190
with SSH-1.0-SSH_Version_Mapper.  Don't panic.
Nov  2 15:03:55 localhost sshd[618]: Did not receive identification string
from ::ffff:83.16.166.190
Nov  2 15:28:31 localhost sshd[927]: Illegal user adm from ::ffff:134.155.48.52
Nov  2 15:28:32 localhost sshd[935]: Illegal user halt from ::ffff:134.155.48.52
Nov  2 15:28:43 localhost sshd[943]: Illegal user operator from 
::ffff:134.155.48.52
Nov  2 15:28:44 localhost sshd[947]: Illegal user gopher from 
::ffff:134.155.48.52
Nov  2 15:28:44 localhost sshd[951]: Illegal user dbus from ::ffff:134.155.48.52
Nov  2 15:28:51 localhost sshd[953]: Illegal user vcsa from ::ffff:134.155.48.52
Nov  2 15:28:51 localhost sshd[968]: Illegal user nscd from ::ffff:134.155.48.52

etc....etc... etc...


J' ai aussi constaté un tentative échouée d'utilisation de notre serveur comme 
relais!

Mais heureusement Debian est trés bien sécurisée par défaut! Merci Debian! 
(je n'ai pas touché a la config de Postfix sauf pour

Security Events
=-=-=-=-=-=-=-=
Nov  3 01:44:27 localhost postfix/smtpd[14024]: NOQUEUE: reject: RCPT from
219-84-8-16-adsl-tpe.dynamic.so-net.net.tw[219.84.8.16]: 554 <[EMAIL 
PROTECTED]>:
Relay access denied; from=<[EMAIL PROTECTED]> to=<[EMAIL PROTECTED]>
proto=SMTP

C'est bien une tentative de relay? Dois-je avertir quelqu'un? 


Du coup j'ai installé harden, désinstallé le ftp, telnet et des services 
d'inetd, au profit de ssh en interdisant
la connexion ssh de root, j'utilise plutôt su. J'ai aussi configuré iptable 
avec firestarter pour n'ouvrir que
les ports pour Apache , ssh, et dns, mais dans un provhe avenir je vais 
utiliser le smtp et le pop.

Que puis-je faire de plus pour sécutisé ma Debian chérie? et surtout ssh car 
depuis le message du 2 nov ci-dessus
j'ai eu encore pleins de tentatives!

J'espère avoir été assez clair.

Christophe









--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]