Le 2 févr. 15 à 16:47, BERTRAND Joël a écrit :
Philippe Gras a écrit :
Le 2 févr. 15 à 16:21, BERTRAND Joël a écrit :
Philippe Gras a écrit :
Je rencontre un problème sur les tentatives d'exploits (casser un
mot de passe en testant des milliers de combinaisons possibles).
Chez moi, fail2ban bannit bien les IP, mais l'attaque continue…
Chez moi aussi, ça fait ça, mais comme les attaquants sont
décorrélés, pas de problème. J'ai eu des queues de bannis de
plus de
50 machines et la cible récidive fonctionne parfaitement. En
revanche,
je ferme autoritairement la connexion avec un ICMP bien senti, je
n'attends pas que la connexion se ferme d'elle même en DROPant le
paquet. Ça aide un peu...
Ah, OK ! Peux-tu expliquer comment tu "fermes autoritairement la
connexion avec un ICMP bien senti" ?
Au lieu de garder la configuration par défaut (d'il y a très
longtemps, je n'ai pas vérifié si cette configuration avait changé
récemment) qui installe un DROP, mes règles installent un REJET avec
--reject-with icmp-port-unreachable
Tu veux parler de la configuration de fail2ban, c'est ça ?
Oui.
Ça t'ennuierait de communiquer ta conf. perso, que je la recopie chez
moi ?
(… et d'autres sur la liste éventuellement aussi, parce que ça a
l'air trop cool)
Si je comprends bien, tu aurais le même problème que moi si tu
attendais
que la connexion se fermât
Oui j'ai eu ce genre de problème par le passé. En plus,
lorsqu'on
parle au zombie, il passe à autre chose plus vite, c'est tout
bénef :-P
Que veux-tu dire par-là ? Casser la connexion avec un DROP ou un
REJECT,
ce n'est pas la même chose finalement ?
Non, ce n'est pas la même chose. DROP, le paquet de l'émetteur
tombe dans un trou noir et la connexion tombe par un timeout côté
émetteur. Avec un REJECT, j'informe explicitement l'émetteur que le
port est fermé en coupant la communication de mon côté. Si
l'émetteur n'est pas trop idiot, il passe à autre chose.
Dans ma petite tête, je pensais que les mecs lançaient leur logiciel
avant d'aller
faire la bringue en fumant des joints, avec leurs copains de la mafia
russe…
J'ai des requêtes en forbidden qui commencent le soir et se terminent
vers 7h00
le lendemain matin, j'ai pas l'impression que ça les formalise plus
que ça !
JKB
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54cf9c1d.7040...@systella.fr
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive:
https://lists.debian.org/a25736b2-0eaf-4c6f-b018-4bb511e56...@worldonline.fr