[SSH] bruteforces en série

Des questions pour configurer votre réseau, Wifi, installer un serveur, sécuriser votre machine ?

Modérateur : Mods GNU/Linux

kankan
Messages : 1
Inscription : 24 janv. 2009 21:48

[SSH] bruteforces en série

par kankan »

Bonjour à tous,

Je viens de mettre en place un serveur SSH accessible depuis l'extérieur. Toutefois, en fouillant mes logs, je me suis aperçu qu'il y avait de nombreuses tentatives de bruteforce sur ce serveur (au moins une ou deux par jour, en sachant que ce PC n'est allumé que 6/7h par jour, qu'il n'y a pas d'autre serveur public que SSH et qu'il a une IP flottante).

Certes, j'ai installé fail2ban et l'utilisateur root (le seul qui est tenté par les bots) est désactivé (le PC est sous Ubuntu), mais bon, ça ne justifie pas les attaques... L'oeuvre de machines zombies ?

En fait, j'aimerais savoir s'il y a un moyen que fail2ban me prévienne chaque fois qu'il bloque une IP (du genre envoi de mail, etc),car les logs d'authentification ne sont pas gardés indéfiniment, et que j'envisage de bannir les plages d'IPs me faisant régulièrement des bruteforce...
Avatar de l’utilisateur
MultiUser
Messages : 2725
Inscription : 07 juin 2008 21:11

Re: SSH, bruteforces en série

par MultiUser »

Salut,

le sujet m'intéresse beaucoup aussi ...
mais je pense que ce n'est pas une mauvaise chose
de bannir les plages d'IPs qui te font régulièrement des bruteforce. PDT_012

je suis le sujet de pret @+ PDT_042
Avatar de l’utilisateur
mélodie
Messages : 1491
Inscription : 14 janv. 2007 00:29
Localisation : Pyrénées

Re: SSH, bruteforces en série

par mélodie »

kankan a écrit : En fait, j'aimerais savoir s'il y a un moyen que fail2ban me prévienne chaque fois qu'il bloque une IP (du genre envoi de mail, etc),car les logs d'authentification ne sont pas gardés indéfiniment, et que j'envisage de bannir les plages d'IPs me faisant régulièrement des bruteforce...
Je ne connais ni le sujet ni le soft, mais une recherche sur le web m'a permis de trouver un wiki en français:
http://www.fail2ban.org/wiki/index.php/FAQ_french

Selon ce que je lis, tu peux configurer la durée de vie des logs, et configurer en fait tout ce que tu veux. Lis en particulier là:
http://www.fail2ban.org/wiki/index.php/ ... figuration

et là:
http://www.fail2ban.org/wiki/index.php/HOWTOs
Règles à respecter sur le forum Si vous ne savez pas comment poster, cliquez ici !
(Et tout particulièrement la section «À lire avant de poster, en 5 points de Capitaine Fab»)

Texte culte
:
Comment Poser Les Questions De Manière Intelligente
Avatar de l’utilisateur
MultiUser
Messages : 2725
Inscription : 07 juin 2008 21:11

Re: SSH, bruteforces en série

par MultiUser »

Re,

je ne pense pas que fail2ban te permette de faire une mailing alert PDT_005

Par contre tu bannis son ip ou les plages ip en vérifiant qu'elle ne s'apparentent pas
à des sites ou serveurs que tu utilises ... et si tu as un jour un soucis d'accès ou
de restriction sur un site, tu sais d'oû çà viens PDT_008

@+ je posterai des infos ici si j'en trouve ...

Quelques infos : pour trouver leurs hébergeurs, mais prend garde aux zombies PDT_004
Un petit trace root histoire de dire ...
Les couches de sécurité SSH ... IPCOP : http://www.ipcop.org/ ...
. . .
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Réseau sous GNU/Linux »