Re: Que faire d'un log d'une attaque sur ssh ?

[Sébastien GALLET <sebastien@gallet.info>]

manioul a écrit :

> Le lundi 17 octobre 2005 à 23:39 +0200, Martinez Nicolas a écrit :
>  
>
> > -----BEGIN PGP SIGNED MESSAGE-----
> > Hash: SHA1
> >
> > Clément Plantier a écrit :
> >    
...

> > Effectivement...
> > J'avais lu sur le web una rticle sur un script permettant de bannir
> > temporairement
> > l'acces au serveur depuis ces ip.
> >    
> portsentry peut, je pense faire l'affaire; il permet de bannir les ip
> qui tentent des scans en ajoutant des règles au fw.
> Sinon, tu grep auth.log et tu ajoutes les règles au fw; ça peut se
> scripter facilement. Mais dans la mesure où il ne s'agit pas vraiment
> d'attaque (ça reste ponctuel dans le temps), tu risques de bloquer des
> ip d'innocents... C'est pourquoi, je pense qu'une solution plus réactive
> (portsentry) est mieux adaptée.
>  
la cible *recent*  d'ipables permet de le faire simplement. Il faut que 
le module soit compilé dans le noyau.
Un petit lien en anglais : http://www.debian-administration.org/articles/187

--
Looking for open-xchange packages for debian sarge?
Look at http://debian.gallet.info/search.do?config=htdig&words=mirror+open-xchange+org.