Miklos Aubert a écrit : > Message: 8 > Date: Tue, 9 Oct 2007 10:15:52 +0200 > From: "Miklos Aubert" <[EMAIL PROTECTED]> > Subject: Re: Compte-rendus système bizarres > To: [email protected] > Message-ID: > <[EMAIL PROTECTED]> > Content-Type: text/plain; charset="iso-8859-1" > > Le 09/10/07, Sébastien Renard <[EMAIL PROTECTED]> a écrit : >> >> Le mardi 9 octobre 2007, Cyril Mougel a écrit: >> > Autre solution mettre le port ssh sur un autre port que le 22. Tu >> > verras cela sera radical. Plus d'attaque par brute force. >> >> C'est en effet radicale. Une autre solution, qui permet de dormir >> tranquille >> est d'ajouter la directive AllowUSers avec uniquement un user. >> Certes les attaques polluent toujours les logs, mais il n'y a pas besoin >> de >> s'inquiéter pour la solidité des mots de passe de chacun des users. >> >> Une solution encore plus efficace mais contraignante : n'autoriser le >> login >> que par clef. Il ne faut pas perdre les clefs dans ce cas et les avoir >> toujours sur soi pour pouvoir se logguer.. >> >> A+ >> -- >> Sébastien >> > > Encore une autre solution, le daemon Fail2ban, qui surveille en > permanence > auth.log pour détecter ce genre d'attaques et paramétrer automatiquement > iptables pour bloquer les adresses ip d'où elles proviennent. On peut > paramétrer Fail2ban de manière à ce qu'il bloque une adresse pendant «x» > secondes, s'il a detecté «y» tentatives de connexion venant de > celle-ci dans > les «z» dernières secondes. A priori, il suffirait de bloquer l'adresse > pendant un quart d'heure pour que les bots abandonnent et partent à > l'attaque d'une autre machine. > > Sécuritairement, > > Miklos :) OK - merci à tous de m'avoir répondu hier (rubrique : compte-rendus système bizarres). Parmi l'ensemble des solutions proposées, celle-ci me va bien, mais je dois installer Fail2ban en plus.
Alors pourquoi pas le truc très simple suivant : ----------------------------------------------------------- Ne me suffirait-il pas de paramétrer iptables de façon à refuser toute requête IP entrante, qui ne soit pas une réponse à mes propres requêtes ? - Je sais le faire facilement, en rejetant tout par défaut, sauf a. les communications en sortie b. en entrée : les communications établies - Comme je ne suis qu'un modeste particulier, je n'ai rien à servir pour l'extérieur (pas de serveur ftp, ni http, ni autre). Donc personne à l'extérieur n'a de raison de demander une connexion entrante sur ma machine, non ? Ce simple paramétrage d'iptables offrirait-il un niveau de sécurité suffisant ? _________________________________ Linux mailing list [email protected] http://lists.parinux.org/mailman/listinfo/linux
