Re: intrusion par ssh
Le 12865ième jour après Epoch,
franck@linuxpourtous.com écrivait:
> Hello,
>
>> Bonjour,
>>
>> Ci-après le contenu de deux logchecks de ce matin. Il me semble qu'il
>> s'agit de tentatives (infructueuses:) de se loguer sur ma machine via
>> ssh.
>>
>> Quelqu'un peut-il m'indiquer comment je devrais réagir en termes de
>> sécurisation, identification (commandes) et répression (abuse)?
>
> 1/ Ne pas permettre de se logguer directement root en SSH
Ou alors, et aussi: Ne permettre la connection qu'avec un échange de
clefs
> 2/ Mettre les IPs dans le host.deny
Elles changent tout le temps.
> 3/ Tracer les IPs
Pour en faire quoi?
> 4/ Surveiller les logs
Alors que surveiller sa porte d'entrée est pertinent car on peut
arrêter le voleur quand il rentre, surveiller les logs ne permet pas
tellement d'agir. On sait juste, après coup, qu'il y a eu
effraction. Et c'est déjà trop tard.
> 5/ Mailer le provider de l'IP
Question subsidiaire: Existe-t-il un moyen d'avoir cette info de façon
automatique? Il y a quelque temps, j'avais fait un script permettant
de récupérer l'adresse email du FAI à partir d'une IP, mais c'était un
peu de la cuisine.
Reply to: