Re: Conseils sur la sécurisation de ses accès par SSH

To: debian-user-french@lists.debian.org
Subject: Re: Conseils sur la sécurisation de ses accès par SSH
From: Vincent Lefevre <vincent@vinc17.net>
Date: Wed, 20 Apr 2016 03:15:15 +0200
Message-id: <[🔎] 20160420011515.GA24381@zira.vinc17.org>
Mail-followup-to: debian-user-french@lists.debian.org
In-reply-to: <[🔎] 570F876B.8040606@libertysurf.fr>
References: <[🔎] 570A8EE5.4070706@nosheep.fr> <[🔎] neej0e$1jt$1@ger.gmane.org> <[🔎] 20160411112325.GC31177@cventin.lip.ens-lyon.fr> <[🔎] 20160411130417.GD12682@espinasse> <[🔎] CAJeHwDZ=83Ksi95e6ZGHd-jHEdUcJZdH5uJ8b3MJSmejSm9a+Q@mail.gmail.com> <[🔎] 20160411140227.GA27384@univ-lemans.fr> <[🔎] 20160413114906.GC19424@cventin.lip.ens-lyon.fr> <[🔎] 20160413133817.GJ13098@bop.univ-ubs.fr> <[🔎] 20160414110603.GA14241@cventin.lip.ens-lyon.fr> <[🔎] 570F876B.8040606@libertysurf.fr>

On 2016-04-14 14:04:59 +0200, Eric wrote:
> J'ai eu il y à quelques années un serveur qui subissait des centaines de
> tentatives d'intrustion par ssh, et
> j'ai résolu le problème avec trois ligne d'iptables qui banissait pour 15
> minutes toutes ip qui échouait 3 fois à une tentative de connection.

C'est exactement le genre de chose que fait fail2ban, sauf que...

> 15 minutes, parce que ça suffit à empécher toute attaque de type "force
> brute" et qu'il m'arrive de planter trois fois de suite la saisie de mon mot
> de passe....

fail2ban peut whitelister des adresses IP (ce que j'ai évidemment
fait). Pour ma part, je n'ai habituellement pas de mot de passe à
taper car j'utilise des clés RSA, mais en cas de problème réseau,
ça peut aussi provoquer des échecs de connexion (ce qui arrivait
il y a quelques années avec mon FAI 3G qui avait mal configuré les
règles de filtrage de son réseau).

fail2ban peut aussi s'occuper des autres services. Malheureusement
il ne supporte pas postscreen (ce qui serait bien utile, car un gros
lourd a fait plus de 100000 connexions à mon serveur de mail en
15 heures la nuit dernière). Mais on peut aussi écrire ses propres
règles. Je vais tenter d'en ajouter une pour postscreen.

-- 
Vincent Lefèvre <vincent@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Reply to:

References:
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: Grégory Reinbold <gregory@nosheep.fr>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: Francois Lafont <mathsattacks@free.fr>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: Vincent Lefevre <vincent@vinc17.net>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: honeyshell <honeyshell@honeyshell.com>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: afrinc <angus.frinc@free.fr>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: Vincent Lefevre <vincent@vinc17.net>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: Bertrand Orvoine <bertrand.orvoine@univ-ubs.fr>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: Vincent Lefevre <vincent@vinc17.net>
- Re: Conseils sur la sécurisation de ses accès par SSH
  - From: Eric <eric.aymard@libertysurf.fr>

Prev by Date: André&la conférence de RMS
Next by Date: Re: Conseils sur la sécurisation de ses accès par SSH
Previous by thread: Re: Conseils sur la sécurisation de ses accès par SSH
Next by thread: Re: Conseils sur la sécurisation de ses accès par SSH
Index(es):
- Date
- Thread