1 semaine de tentatives d'intrusions et plus rien ?

[lennelei]

Bonjour à tous,

j'espère que je ne me suis pas trompé de section !

j'ai remarqué un truc étrange sur l'un de mes serveurs : pendant environ une semaine (du 17 au 22 juin), fail2ban a remonté environ une centaine de tentatives de connexions à postfix par jour, alors qu'en temps normal (avant le 17 juin et même ces jours-ci puisque c'est retombé), je n'ai que 3/4 remontées par jour.

Est-ce qu'il y aurait une explication à cela ?

Est-ce qu'il existe d'autres outils qui me permettraient d'avoir plus d'infos au niveau sécurité sur ma machine ?

Merci d'avance

[compte-supprime666]

Salut,

fail2ban jamais utilisé, d'après ce que j'ai compris, si une connexion rate un peu trop elle est bannie, le problème que je vois, c'est que si un correspondant a un pare feu réglé un peu serré, surtout du côté ICMP type 3 ou au niveau des ports en sortie, ça peut gêner sans être nuisible, je me demande si cet outil est utile.

Pour voir si tu es vraiment attaqué, il faut avoir un pare feu bavard (voir le journal), et surveiller les ICMP type 8 code 0 entrants (refuser les sortants), les ICMP de type 9-10 ne sont pas clairs non plus, mais en général derrière un routeur on ne craint rien, sauf s'il y a un serveur mal configuré et pas assez surveillé.