Le Tue, 5 Jun 2007 15:01:11 +0000 (GMT)
BOURGEOIS Christophe <[EMAIL PROTECTED]> a écrit:
> Bonjour,
>
> J'ai un serveur qui a été 'victime' d'une attaque par ssh. Pendant plusieurs
> heures il y a eu des tentatives de connexion avec des comptes qui n'existent
> pas. Est-ce qu'il y a un paramétrage du serveur ssh pour blacklister
> automatiquement une adresse ip après un certain nombre de tentatives de
> connexion infructueuses ?
>
> Christophe.
J'utilise avec succès ipt_recent pour ssh et ftp
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent
--set
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent
--update --seconds 90 --hitcount 3 -j DROP
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -m recent
--set
iptables -I INPUT -p tcp --dport 21 -m state --state NEW -m recent
--update --seconds 90 --hitcount 10 -j DROP
Très efficace.
François Boisson
François Boisson
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
