> Le 6 juin 2019 à 09:09, Daniel Caillibaud <ml@lairdutemps.org> a écrit :
>
> Le 06/06/19 à 08:30, Pierre Malard <plm@teledetection.fr> a écrit :
>> Bonjour,
>>
>> Sans présumer de qui est le plus « méchant » (Chinois, Russes, USA, Fr…)
>> et pratique le scan massif, je ne saurait trop conseiller un filtrage
>> avec la limitation des ports ouverts par un pare-feu et, sur les serveurs
>> ouverts, l’installation de « Fail2Ban » en validant les règles « récidive
>> ».
>
> Sur un serveur en prod, l'intérêt d'un pare-feu est quand même très limité
> (éventuellement pour gérer du throttle), à priori si un port est ouvert sur
> une ip publique c'est qu'on veut qu'il soit accessible (sinon on l'aurait
> pas ouvert là).
Effectivement c’est pourquoi il y avait un « et » et non un « ou ».
> Pour le sshd, le plus efficace reste encore de le configurer pour interdire
> la connexion par mot de passe, ensuite fail2ban n'est plus nécessaire
> (sinon pour réduire le bruit dans auth.log).
>
> Il faut mettre dans /etc/ssh/sshd_config la ligne :
>
> PasswordAuthentication no
Effectivement, c’est même l’option par défaut sur toute installation
actuellement. C'était, dans mon esprit, la configuration de base mais il est vrai
que ce n’est pas parce que « ça allait sans le dire qu’il ne faut pas …
le dire ».
Merci
--
Pierre Malard
- --> Ce message n’engage que son auteur <--