Re: Faire tourner sshd sur un autre port que 22
Nicolas KOWALSKI a écrit :
> Pascal Hambourg <pascal.mail@plouf.fr.eu.org> writes:
>> J'hésite à dire simpliste, même. La correspondance "recent" d'iptables
>> est vulnérable à l'usurpation d'adresse et a une mémoire limitée, ce qui
>> permet à un attaquant de débloquer son adresse rapidement ou de bloquer
>> une adresse arbitraire, provoquant un déni de service.
>
> Il y a une autre méthode basée sur iptables, simple et sûre, en lieu
> et place de fail2ban ?
Tu veux dire une méthode non basée sur les logs d'échec de sshd ?
Je n'en connais pas. Pour se protéger contre l'usurpation d'adresse, il
faudrait se baser sur la réception du dernier paquet de la poignée de
main TCP. Mais ce paquet est un simple ACK qu'il n'est pas aisé de
distinguer de n'importe quel autre ACK. Sa seule particularité est qu'il
est le premier ACK reçu. De toute façon iptables n'a aucun moyen seul de
reconnaître un échec d'authentification, et il peux exister des usages
légitimes impliquant plusieurs connexions SSH rapprochées, par exemple
avec scp. L'analyse des logs a le double avantage de protéger
raisonnablement contre l'usurpation d'adresse (très difficile d'établir
une connexion TCP en usurpant l'adresse source sur internet, et pas de
log si pas de connexion) et de ne sanctionner que les échecs.
Reply to: