Bonjour à tous,
Je viens de mettre en place un serveur SSH accessible depuis l'extérieur. Toutefois, en fouillant mes logs, je me suis aperçu qu'il y avait de nombreuses tentatives de bruteforce sur ce serveur (au moins une ou deux par jour, en sachant que ce PC n'est allumé que 6/7h par jour, qu'il n'y a pas d'autre serveur public que SSH et qu'il a une IP flottante).
Certes, j'ai installé fail2ban et l'utilisateur root (le seul qui est tenté par les bots) est désactivé (le PC est sous Ubuntu), mais bon, ça ne justifie pas les attaques... L'oeuvre de machines zombies ?
En fait, j'aimerais savoir s'il y a un moyen que fail2ban me prévienne chaque fois qu'il bloque une IP (du genre envoi de mail, etc),car les logs d'authentification ne sont pas gardés indéfiniment, et que j'envisage de bannir les plages d'IPs me faisant régulièrement des bruteforce...
[SSH] bruteforces en série
Modérateur : Mods GNU/Linux
Re: SSH, bruteforces en série
Salut,
le sujet m'intéresse beaucoup aussi ...
mais je pense que ce n'est pas une mauvaise chose
de bannir les plages d'IPs qui te font régulièrement des bruteforce.
je suis le sujet de pret @+
le sujet m'intéresse beaucoup aussi ...
mais je pense que ce n'est pas une mauvaise chose
de bannir les plages d'IPs qui te font régulièrement des bruteforce.
je suis le sujet de pret @+
- Messages : 1491
- Inscription : 14 janv. 2007 00:29
- Localisation : Pyrénées
Re: SSH, bruteforces en série
Je ne connais ni le sujet ni le soft, mais une recherche sur le web m'a permis de trouver un wiki en français:kankan a écrit : En fait, j'aimerais savoir s'il y a un moyen que fail2ban me prévienne chaque fois qu'il bloque une IP (du genre envoi de mail, etc),car les logs d'authentification ne sont pas gardés indéfiniment, et que j'envisage de bannir les plages d'IPs me faisant régulièrement des bruteforce...
http://www.fail2ban.org/wiki/index.php/FAQ_french
Selon ce que je lis, tu peux configurer la durée de vie des logs, et configurer en fait tout ce que tu veux. Lis en particulier là:
http://www.fail2ban.org/wiki/index.php/ ... figuration
et là:
http://www.fail2ban.org/wiki/index.php/HOWTOs
Règles à respecter sur le forum ← Si vous ne savez pas comment poster, cliquez ici !
(Et tout particulièrement la section «À lire avant de poster, en 5 points de Capitaine Fab»)
Texte culte:
Comment Poser Les Questions De Manière Intelligente
(Et tout particulièrement la section «À lire avant de poster, en 5 points de Capitaine Fab»)
Texte culte:
Comment Poser Les Questions De Manière Intelligente
Re: SSH, bruteforces en série
Re,
je ne pense pas que fail2ban te permette de faire une mailing alert
Par contre tu bannis son ip ou les plages ip en vérifiant qu'elle ne s'apparentent pas
à des sites ou serveurs que tu utilises ... et si tu as un jour un soucis d'accès ou
de restriction sur un site, tu sais d'oû çà viens
@+ je posterai des infos ici si j'en trouve ...
Quelques infos : pour trouver leurs hébergeurs, mais prend garde aux zombies
Un petit trace root histoire de dire ...
Les couches de sécurité SSH ... IPCOP : http://www.ipcop.org/ ...
. . .
je ne pense pas que fail2ban te permette de faire une mailing alert
Par contre tu bannis son ip ou les plages ip en vérifiant qu'elle ne s'apparentent pas
à des sites ou serveurs que tu utilises ... et si tu as un jour un soucis d'accès ou
de restriction sur un site, tu sais d'oû çà viens
@+ je posterai des infos ici si j'en trouve ...
Quelques infos : pour trouver leurs hébergeurs, mais prend garde aux zombies
Un petit trace root histoire de dire ...
Les couches de sécurité SSH ... IPCOP : http://www.ipcop.org/ ...
. . .