Harang Jean-Marc wrote:
Le 27/08/2013 17:10, BERTRAND Joël a écrit :Avec un ssh qui évite le compte root, un fail2ban bien configuré et des mots de passe un tant soit peu complexes, on évite déjà pas mal de problèmes.bonsoir, c'est vrai que je me suis contenté de ça sur mon dédié perso, avec un fw de base quand même et que j'ai 0 problème. je précise que je n'ai que très peu d'applications web en PHP, ça doit aider aussi ...
Ça aide aussi ;-)
Mais qu'entends-tu par "fail2ban bien configuré" ? je pense que ça peut être instructif, en particulier pour des gens comme moi dont ce n'est pas le métier ;) Juste quelques points clefs, hein :)
Ne pas garder la configuration par défaut. Je ne sais pas comment est livré actuellement fail2ban, mais sur mes machines, il ne fait pas que regarder ssh. Il regarde tous les auters services potentiellement dangereux et banni plus rapidement les IP (et pour des durées d'autant plus longues que l'origine est bizarre... Je me connecte rarement en ssh depuis la Chine ou depuis un réseau zombie).
Et bien configuré, cela veut dire aussi regarder ce qui se passe sur le réseau interne. La seule machine qui est tombée sur l'un de mes réseaux a subi une attaque depuis un PC vérolé. On ne pense pas trop à cela sur les petits réseaux.
Et toujours ceinture _et_ bretelle. Le but n'est pas d'interdire à quelqu'un d'entrer sur des machines mais de le ralentir le plus possible.
Cordialement, JKB