Le 17/12/2010 14:00, Stephane Bortzmeyer a écrit :
http://www.bortzmeyer.org/sshd-port-alternatif.html [snip] Existe-t-il d'autres méthodes pour contrarier ce genre d'attaquants ? Oui, bien sûr, on peut restreindre l'accès à SSH par adresse IP source. Cela se fait souvent sur les routeurs, qu'on n'administre que depuis le réseau interne, mais ce n'est pas toujours possible pour les serveurs, il faut bien pouvoir se connecter à distance.
on peut aussi activer plusieurs ports dans sshd_config: Port 22 Port ABCDEet n'autoriser le port 22 qu'à partir de certaines IPs (avec iptables ou autre). ça a l'avantage de ne pas devoir modifier les scripts qui utilisent ssh à partir de certaines machines (rsync par exemple).
de plus, si le nombre de comptes qui ont droit à ssh est réduit, on peut créer un groupe et utiliser un truc du genre:
AllowGroups _sshuser
Il y a aussi la possibilité de faire du « toquage à la porte » avec un logiciel comme knockd ou avec une solution plus simple (http://www.debian-administration.org/articles/268). Encore une autre solution est d'utiliser fail2ban mais je ne l'ai personnellement pas encore tenté. En sécurité, les solutions les plus simples et les moins fatigantes sont souvent les meilleures.
tout à fait.pour fail2ban et les méthodes de même type (blocage d'une IP suite à une tentative), ça ne marchera pas si l'attaque est distribuée.