[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: intrusion par ssh

On 2005-03-23 16:41:32 +0100, Aurelien Jarno wrote:
> Si tu as un noyau récent avec ipt-recent, tu peux tenter de rajouter des
> règles dans le style (à ajuster en fonction de tes besoins):
> 
> iptables -A INPUT -i eth0 -p tcp --dport ssh -m state --state NEW -m recent --set --name SSH
> iptables -A INPUT -i eth0 -p tcp --dport ssh -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
> 
> Ça n'autorise que 3 tentatives de connection en SSH par IP en
> minute et il faut ensuite une minute sans connexion pour que le SSH soit
> de nouveau autorisé depuis cette IP. Ça devrait calmer ceux qui font de
> la force brute ! 

Je viens de penser à un autre système: est-il possible de faire
apparaître le port 22 comme fermé à la première tentative de
connexion, mais de ne l'ouvrir qu'à une seconde tentative (depuis
la même adresse IP)?

-- 
Vincent Lefèvre <vincent@vinc17.org> - Web: <http://www.vinc17.org/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.org/blog/>
Work: CR INRIA - computer arithmetic / SPACES project at LORIA
Reply to: