Vincent Gay a écrit : > Fabrice Chaillou a écrit : >> >> Autre chose, j'ai été moi aussi surpris du fonctionnement au >> début.... Jusqu'à ce que je comprenne que fail2ban analyse les logs >> à intervalle régulier et bannit les IP à ce moment là. Le >> bannissement n'est donc pas immédiat ! > > Ahhh ! je ne vois pas l'intérêt de bannir 2 heures après une > tentative d'attaque par force brute.
C'est une bonne question... que je continue à me poser. Une esquisse de réponse : en regardant mes logs, je vois qu'il y a 3 à 4 secondes entre chaque tentative de connexion. Donc une analyse du log toutes les 30s [1] détectera l'attaque au plus tard à la 10e tentative, ce qui est raisonnable si ton système est un poil sécure (genre n'autoriser ssh qu'à certains utlilisateurs...). Et, d'expérience, c'est ce qui se passe [2]. F. [1] C'est le réglage par défaut pour denyhosts (c'est ce que j'utilise, ça a l'air de marcher pareil, en plus frustre peut-être). [2] Deux exemples d'IP bannies : [EMAIL PROTECTED]:~$ grep 202.141.41.155 /var/log/auth.log Jun 4 21:17:43 localhost sshd[8266]: Did not receive identification string from 202.141.41.155 Jun 4 21:21:23 localhost sshd[8377]: Invalid user admin from 202.141.41.155 Jun 4 21:21:26 localhost sshd[8381]: Invalid user admin from 202.141.41.155 Jun 4 21:21:29 localhost sshd[8385]: Invalid user admin from 202.141.41.155 Jun 4 21:21:31 localhost sshd[8387]: Invalid user administrator from 202.141.41.155 Jun 4 21:21:34 localhost sshd[8391]: Invalid user jack from 202.141.41.155 Jun 4 21:21:37 localhost sshd[8393]: Invalid user marvin from 202.141.41.155 Jun 4 21:21:39 localhost sshd[8397]: Invalid user andres from 202.141.41.155 Jun 4 21:21:42 localhost sshd[8399]: Invalid user barbara from 202.141.41.155 Jun 4 21:21:44 localhost sshd[8403]: Invalid user adine from 202.141.41.155 Jun 4 21:21:47 localhost sshd[8405]: Invalid user test from 202.141.41.155 Jun 4 21:21:49 localhost sshd[8409]: Invalid user guest from 202.141.41.155 Jun 4 21:21:51 localhost sshd[8411]: Invalid user db from 202.141.41.155 Jun 4 21:21:54 localhost sshd[8415]: Invalid user ahmed from 202.141.41.155 Jun 4 21:21:57 localhost sshd[8417]: Invalid user alan from 202.141.41.155 Jun 4 21:21:58 localhost sshd[8421]: refused connect from ::ffff:202.141.41.155 (::ffff:202.141.41.155) [EMAIL PROTECTED]:~$ grep 59.81.126.147 /var/log/auth.log Jun 4 23:01:27 localhost sshd[11686]: Did not receive identification string from 59.81.126.147 Jun 4 23:05:41 localhost sshd[11799]: Invalid user admin from 59.81.126.147 Jun 4 23:05:45 localhost sshd[11801]: Invalid user test from 59.81.126.147 Jun 4 23:05:49 localhost sshd[11805]: Invalid user guest from 59.81.126.147 Jun 4 23:05:52 localhost sshd[11809]: Invalid user webmaster from 59.81.126.147Jun 4 23:05:59 localhost sshd[11815]: Invalid user oracle from 59.81.126.147 Jun 4 23:06:03 localhost sshd[11819]: Invalid user library from 59.81.126.147 Jun 4 23:06:07 localhost sshd[11828]: refused connect from ::ffff:59.81.126.147 (::ffff:59.81.126.147) [EMAIL PROTECTED]:~$ -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]