Re: Blacklistage d'ip par ssh ?
Le Tue, 05 Jun 2007 17:40:11 +0200, Damien Ulrich a écrit:
> Le mardi 5 juin 2007 17:01, BOURGEOIS Christophe a écrit :
>> J'ai un serveur qui a été 'victime' d'une attaque par ssh. Pendant
>> plusieurs heures il y a eu des tentatives de connexion avec des comptes
>> qui n'existent pas. Est-ce qu'il y a un paramétrage du serveur ssh pour
>> blacklister automatiquement une adresse ip après un certain nombre de
>> tentatives de connexion infructueuses ?
>
> fail2ban est idéal, il me semble
J'approuve. Il a d'ailleurs été « paquet debian du jour » il n'y a pas
bien longtemps. C'est très pratique à mettre en place : dans la config
par défaut, il bloque pendant 5 minutes toute IP qui fait plus de trois
tentatives infructueuses de connexion ssh en moins de 5 minutes. Il faut
savoir que 99% des agresseurs ne reviendront pas après seulement 5
minutes, et que pour un utilisateur malchanceux c'est pas très gênant non
plus.
C'est très simple à configurer (dans jail.conf qui se lit comme un roman)
et ça peut prendre en charge les tentatives de connexions sur tes autres
services (ftp, mail...) si tu en as.
Manuel.
Reply to: