Vincent Lefevre a écrit :
Oui, comme le port knocking ça permet au moins d'éviter les scans de ports et une grande partie des attaques automatisées.et fail2ban (que j'avais cité), qui permet de bannir une machine (i.e. qui se retrouve filtrée via iptables pendant un certain temps configurable) après un certain nombre (configurable) de connexions infructueuses. Donc sauf à avoir un mot de passe trivial, il est quasiment impossible de le trouver.
Je ne veux pas dénigrer fail2ban, mais pour moi son intérêt se limite à alléger les logs du démon SSH, parce que 10000 lignes de tentatives de connexion par jour, ça encombre. Si les mots de passe sont suffisamment forts, ou si carrément l'authentification par SSH est désactivée, les attaques robotisées par force brute et dictionnaire n'ont aucune chance de réussir. Il ne reste donc que l'exploitation d'une faille de sécurité du démon SSH contre laquelle fail2ban ne protègera pas, contrairement au DNS dynamique, port knocking et assimilés.