Euh, je trouve que le fail2ban à 3 tentatives en 1 heure, c'est un coup
à se bloquer soi-même et à avoir des effets indésirables.
(je fait partie des utilisateurs à gros doigts)
Mais il y a aussi le problème des 50 usagers derrière un nat. ça serait
même étonnant qu'il n'y ait pas 3 échecs le matin quand tout le monde se
log.
Mais surtout, je ne saisis pas la pertinence en termes de sécurité :
Pour commencer, si le mot de passe est bidon, c'est pas le fail2ban qui
te protègera, quelque soit le seuil.
Un utilisateur "normal" ne t'emmerde pas, même si il fait 50 tentatives
en 10 minutes.
Mais si tu le bloque une semaine, cet utilisateur va venir t'emmerder
pour se faire débloquer.
Et si cet utilisateur c'est toi, t'es quand même rudement emmerdé.
L'autre souci avec des ban longs et des seuils bas, c'est que tu va te
traîner des tables de ban assez volumineuses alors que l'attaque a cessé
très peu de temps après le blocage. Un firewall avec trop de règles, ça
pose aussi des problèmes de perf.
Le bruteforceur va de toute façon faire exploser les compteurs. Ce qui
compte, c'est avant tout d'empecher le déni de service.
Personnellement j'emploie ça
- 10 echecs en moins d'une minute : Possible DoS : ban 5 minutes. (et en
même temps ça fait réfléchir l'utilisateur étourdi)
- 50 echecs en moins d'une heure : on est a peu près sur de ne pas avoir
affaire a un humain et ban pendant 1 heure.
Si l'attaquant s'obstine, il sera re banis... à ce rythme là, si le
mot de passe n'est pas trop bidon ça peut tenir des siècles...
- 500 échecs en moins de 24H : On est dans le cas d'un attaquant qui
s'obstine ou qui joue avec les seuils de détection => ban 8 jours.
On 21/01/2016 07:44, David Ponzone wrote:
Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h.
David Ponzone
Le 21 janv. 2016 à 04:42, Michel Py <mic...@arneill-py.sacramento.ca.us> a
écrit :
Bonjour à tous,
Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille bash / python
en beta-test pour en faire une "vraie" app : les préfixes dans une base de
données sqlite3 avec des dates. Et des communautés BGP séparées, par demande populaire.
La question du jour : quand un { zombie | abruti | mec avec des gros doigts |
hacker } essaie un telnet en root sur mon IP, çà rentre dans la moulinette au
premier essai. Pour combien de temps ? 24 h ?
Michel
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
