Le 06/06/19 à 08:30, Pierre Malard <plm@teledetection.fr> a écrit : > Bonjour, > > Sans présumer de qui est le plus « méchant » (Chinois, Russes, USA, Fr…) > et pratique le scan massif, je ne saurait trop conseiller un filtrage > avec la limitation des ports ouverts par un pare-feu et, sur les serveurs > ouverts, l’installation de « Fail2Ban » en validant les règles « récidive > ». Sur un serveur en prod, l'intérêt d'un pare-feu est quand même très limité (éventuellement pour gérer du throttle), à priori si un port est ouvert sur une ip publique c'est qu'on veut qu'il soit accessible (sinon on l'aurait pas ouvert là). Pour le sshd, le plus efficace reste encore de le configurer pour interdire la connexion par mot de passe, ensuite fail2ban n'est plus nécessaire (sinon pour réduire le bruit dans auth.log). Il faut mettre dans /etc/ssh/sshd_config la ligne : PasswordAuthentication no -- Daniel Ne disons pas du mal du diable : c'est peut-être l'homme d'affaires du bon dieu. Bernard Fontenelle
Attachment:
pgpfUzN0Xcg8A.pgp
Description: Signature digitale OpenPGP