Re: Faire tourner sshd sur un autre port que 22
Bonjour,
J'avais une méthode radicale, mais dangereuse avec iptables: iptables -A INPUT -p tcp --dport ssh -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport ssh --match state --state NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP
Le principe de la règle est simple, si quelqu'un tente de faire plus de 3 connexions ssh en moins de 60s, l'IP est bannie pendant un certain temps.
Le problème et qu'il ne fait pas la différence entre connexion réussie et connexion échouée, du coup un utilisateur "normal" est soumis aux même règles.
(peut s'arranger avec --source éventuellement, j'avais configuré ça pour mon réseau local)
Cordialement,
Andreas
On Dec 19, 2010, at 10:38 AM, Nicolas KOWALSKI wrote:
> Pascal Hambourg <pascal.mail@plouf.fr.eu.org> writes:
>> Nicolas KOWALSKI a écrit :
>>> Il y a une autre méthode basée sur iptables, simple et sûre, en lieu
>>> et place de fail2ban ?
>>
>> Tu veux dire une méthode non basée sur les logs d'échec de sshd ?
>> Je n'en connais pas.
>
> Oui, je pensais à ce type de méthode. Dommage, j'aimais bien cette
> simplicité d'utilisation.
>
>> L'analyse des logs a le double avantage de protéger raisonnablement
>> contre l'usurpation d'adresse (très difficile d'établir une
>> connexion TCP en usurpant l'adresse source sur internet, et pas de
>> log si pas de connexion) et de ne sanctionner que les échecs.
>
> Bon, je vais refaire des essais avec fail2ban alors.
>
> Merci pour toutes ces précisions.
>
> --
> Nicolas
Reply to: