Re: Faire tourner sshd sur un autre port que 22

To: debian-user-french@lists.debian.org
Subject: Re: Faire tourner sshd sur un autre port que 22
From: Nicolas KOWALSKI <niko@petole.demisel.net>
Date: Fri, 17 Dec 2010 19:11:18 +0100
Message-id: <[🔎] 87tyicz2ux.fsf@petole.demisel.net>
In-reply-to: <[🔎] 20101217130017.GA31515@nic.fr>
References: <[🔎] 20101217130017.GA31515@nic.fr>

Stephane Bortzmeyer <stephane@sources.org> writes:
> En sécurité, les solutions les plus simples et les moins fatigantes
> sont souvent les meilleures.

Le petit script iptables ci-dessous met dehors toutes les attaques par
dictionnaire (plus de 3 connexions par minutes sur le ssh, et l'IP
source est bloquée), sans avoir besoin de changer le port d'écoute du
serveur. On peut whitelister également une IP, avant la règle du DROP,
comme indiqué. Coût (temps, logiciel, ...) de maintenance, zéro.

# iptables-save
# Generated by iptables-save v1.4.2 on Fri Dec 17 18:45:42 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s <ip-whitelistee>/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
-A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Simple, non ? ;-)

-- 
Nicolas

Reply to:

Follow-Ups:
- Re: Faire tourner sshd sur un autre port que 22
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

References:
- Faire tourner sshd sur un autre port que 22
  - From: Stephane Bortzmeyer <stephane@sources.org>

Prev by Date: Re: Faire tourner sshd sur un autre port que 22
Next by Date: Re: Faire tourner sshd sur un autre port que 22
Previous by thread: Re: Faire tourner sshd sur un autre port que 22
Next by thread: Re: Faire tourner sshd sur un autre port que 22
Index(es):
- Date
- Thread