Johan Dindaine wrote:
Bonjour la liste, assez regulierement j'ai des tentatives de connexion par SSH venant ds mes logs du genre: Did not receive identification string from 210.102.192.90 ou encore Did not receive identification string from UNKNOWN. J'en ai tellement qu'a certain moment le flood ralenti ce serveur. Je me rappelle avoir deja vu sur la liste un programme permetant de banir une IP apres un certain nombres d'essaie mais je n'ai pu retrouver le nom. Pouvez vous me rappeler quel etait celui ci?
fail2ban, denyhosts, .... etcmais bon, c'est de l'artillerie lourde en quelque sorte. il faut être conscient que ça consiste à faire tourner un programme privélgié (il faut qu'il puisse reconfigurer le firewall) qui réagit à des expressions régulières. A un moment, il y avait une attaque contre fail2ban qui consistait à faire une tentative de l'utilisateur "toto from 1.2.3.4" afin de causer des problèmes pour 1.2.3.4. ça a été corrigé depuis, mais le mal est fait (ça veut dire que le développeur n'avait pas prévu le coup, et que donc il est tout à fait raisonnable de penser qu'il n'y ait pas prévu d'autres coups).
si tu te sens "droit dans tes bottes", alors ignore les attaques en te disant "c'est sécurisé ici, on s'en moque des tentatives". Après tout, il n'y a pas de raison de trembler toute sa vie durant.
sinon, change de port. d'après mon experience, ça réduit le bruit à 0, ce qui est très agréable. ça ne veut pas dire qu'il faut compter dessus pour la sécurité. mais on a autre chose à faire que de s'occuper des "script kiddies". et ça oblige l'attaquant à trouver le port, ce qui ne peut être fait de façon passive, et donc, il est possible de detecter qu'il y a une tentative, auquel cas on peut se mettre en mode "faché".