> Le 6 juin 2019 à 09:09, Daniel Caillibaud <ml@lairdutemps.org> a écrit : > > Le 06/06/19 à 08:30, Pierre Malard <plm@teledetection.fr> a écrit : >> Bonjour, >> >> Sans présumer de qui est le plus « méchant » (Chinois, Russes, USA, Fr…) >> et pratique le scan massif, je ne saurait trop conseiller un filtrage >> avec la limitation des ports ouverts par un pare-feu et, sur les serveurs >> ouverts, l’installation de « Fail2Ban » en validant les règles « récidive >> ». > > Sur un serveur en prod, l'intérêt d'un pare-feu est quand même très limité > (éventuellement pour gérer du throttle), à priori si un port est ouvert sur > une ip publique c'est qu'on veut qu'il soit accessible (sinon on l'aurait > pas ouvert là). Effectivement c’est pourquoi il y avait un « et » et non un « ou ». > Pour le sshd, le plus efficace reste encore de le configurer pour interdire > la connexion par mot de passe, ensuite fail2ban n'est plus nécessaire > (sinon pour réduire le bruit dans auth.log). > > Il faut mettre dans /etc/ssh/sshd_config la ligne : > > PasswordAuthentication no Effectivement, c’est même l’option par défaut sur toute installation actuellement. C'était, dans mon esprit, la configuration de base mais il est vrai que ce n’est pas parce que « ça allait sans le dire qu’il ne faut pas … le dire ». Merci -- Pierre Malard - --> Ce message n’engage que son auteur <--
Attachment:
signature.asc
Description: Message signed with OpenPGP