bonsoir a tous, en regardant l'activité de mon ordinateur distant (au domicile en fait vu que c'est moi qui suis parti en vacs) j'ai pu constater a de nombreuses attaque sur SSH :

http://pastebin.com/G82TUJJP

j'ai fait un traceroute et visiblement le dernier serveur apparaissant dans la liste serais situé au Suriname.

pour éviter ceci, est-il possible de dire a ssh de refuser une IP durant les prochaines 72H après trois tentative échoué a l'accès de mon serveur ssh?

merci a vous

http://www.fail2ban.org/wiki/index.php/Main_Page à voir si les barbus d'ici le considèrent bien

J'ai des logs similaires sur ma machine. Je trouve que c'est une tres bonnes preuves que les systemes unix sont la cible d'attaques et qu'ils ne faut pas negliger la securite des unix sous pretexte que ce ne sont pas des windows.

Sinon deepblue a donner la bonne reponse. fail2ban

Interdit les mots de passe et déploie des clés RSA, tu pourras oublier ce genre de problème (sauf si tu utilises des clés générées sur une vieille Debian, haha).

Y'a toujours pas d'équivalent à max-src-conn-rate/overload dans iptables ?

Je ne suis pas sûr de ce à quoi tu penses, mais ça fait très longtemps qu'on peut greylister une IP qui pilonne un port avec iptables.

Tu aurais un lien expliquant ça, ou la commande à chercher dans la man page ?

Ah ok Dargor qui veut troller Debian

J'ai pas ça sous la main, désolé.

J'avais lu ça il y a longtemps (quand je préparais l'agreg, donc en 2006). Et comme je n'avais pas fait trop d'efforts pour la configuration des parefeux, que iptables c'était déjà moche à l'époque et qu'en plus j'avais la flemme de recompiler les kernels des différentes machines (j'étais "admin" d'une petite dizaine de machines très diverses à l'époque) pour que ça marche, je ne l'avais pas fait…

En googlant un peu, je suis tombé sur ça :
http://www.debian-administration.org/articles/187

D'accord, ça s'en approche en effet. En compliqué

C'est un peu la définition d'iptables par rapport à pf ça.

Sankukai++

Si tu veux utiliser l'authentification par mot de passe tu peux aussi faire appel au port-knocking : http://fr.wikipedia.org/wiki/Port_knocking

Sous debian il y a knockd.

Je l'ai testé il y a quelques années et c'était pas mal.

Bof bof, surtout si la connexion est du wifi :
« si un attaquant ne connaît pas la séquence, » il sniffe jusqu'à ce que quelqu'un entre la bonne séquence pour lui.

Mieux vaut utiliser une clé rsa, sachant que la clé peut elle-même être protégée par un mot de passe si besoin.

Tu peux changer le port ssh. Si le pirate veut vraiment s'acharner sur toi, ça le fera chier 2min mais si c'est un bot con il fera des connexions dans le vent.

Non, changer de port pour ssh c'est complètement inutile./

La sécurité par l'obscurité c'est caca, faut pas manger.

Ca freine et je n'ai pas dit que c'était la meilleur solution. En tout cas, moi je rigole de voir mes logs criblés de "bad protocol" ^^

Ça freine quedale. Si tu veux freiner, tu blackliste les gens qui pilonnent tes ports (cf quelques messages plus haut).

Simon Je pense pareil et je me suis fait troller pareil