Re: attaque ssh?
On 2006/12/05-09:06(+0100), spetrot@free.fr wrote :
> Qu'est-ce que cela signifie exactement?
> Comment sécuriser ssh pour éviter ces attaques?
> Comment savoir si l'attaque a abouti?
>
Ce sont des tentatives de connexion en utilisant des comptes
"classiques".
Le meilleur moyen de se protéger c'est :
- Refuser les connexions via le compte root (PermitRootLogin no)
- Spécifier les comptes qui ont le droit de se connecter
(AllowUsers/AllowGroups)
- Forcer les utilisateurs à avoir de vrai mot de passe
- Mieux encore : n'accepter que l'authentification via clé publique.
- Désaciver tous les comptes qui ne sont pas nécessaires et mettre un
/bin/false en shell aux utilisateurs qui n'en ont pas besoin.
- Configurer SSH pour n'écouter que sur les interfaces auxquelles vous
vous connectez
- Via IPTables n'autoriser que les machines à partir desquelles vous
vous connectez à ouvrir une session tcp sur le port 22.
- Eventuellement changer le port d'écoute de sshd
- Installer fail2ban, qui apres une serie de mauvaise authentification,
installera des règles IPTables pour blacklister la source.
Avec ca ton serveur sera un minimun configuré correctement. Après dès qu'on
mets un service avec authentification accessible sur internet (ssh ftp...),
il faut inévitablement s'attendre à ce que des bots, ou mêmes des
personnes, tentent d'y accéder via brute force, ou attaque par
dictionnaire.
Yann.
Reply to: