Re: intrusion par ssh
On Wed, Mar 23, 2005 at 11:26:12AM +0100, Gwendal Demaille wrote:
> Ci-après le contenu de deux logchecks de ce matin. Il me semble qu'il
> s'agit de tentatives (infructueuses:) de se loguer sur ma machine via
> ssh.
J'ai au moins 10 tentatives de ce genre par jour...
> Quelqu'un peut-il m'indiquer comment je devrais réagir en termes de
> sécurisation, identification (commandes) et répression (abuse)?
Si tu as un noyau récent avec ipt-recent, tu peux tenter de rajouter des
règles dans le style (à ajuster en fonction de tes besoins):
iptables -A INPUT -i eth0 -p tcp --dport ssh -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -i eth0 -p tcp --dport ssh -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
Ça n'autorise que 3 tentatives de connection en SSH par IP en
minute et il faut ensuite une minute sans connexion pour que le SSH soit
de nouveau autorisé depuis cette IP. Ça devrait calmer ceux qui font de
la force brute !
Aurélien
--
.''`. Aurelien Jarno | GPG: 1024D/F1BCDB73
: :' : Debian GNU/Linux developer | Electrical Engineer
`. `' aurel32@debian.org | aurelien@aurel32.net
`- people.debian.org/~aurel32 | www.aurel32.net
Reply to: