Le mercredi 23 mars 2005, � 11:56:18, SULEK Nicolas DSIC BA �crivait : > > [EMAIL PROTECTED] a �crit : > > >Hello, > > > > > > > >>Bonjour, > >> > >>Ci-apr�s le contenu de deux logchecks de ce matin. Il me semble > >qu'il >s'agit de tentatives (infructueuses:) de se loguer sur ma > >machine via >ssh. > >> > >>Quelqu'un peut-il m'indiquer comment je devrais r�agir en termes de > >>s�curisation, identification (commandes) et r�pression (abuse)? > >> > >> > > > >1/ Ne pas permettre de se logguer directement root en SSH > >2/ Mettre les IPs dans le host.deny > >3/ Tracer les IPs > >4/ Surveiller les logs > >5/ Mailer le provider de l'IP > >6/ Garder les logs > > > >Voil� ce que je peux te dire. Il y a certainement d'autres choses � > >faire ;) > > > >++ > > > > > > > on peut aussi changer le port de ssh, �a permet d'�viter pas mal de > scripts dans ce genre. > > > Minist�re de l'Int�rieur > SG/DSIC/SDEL/BA > P�le Architecture Technique > >
Merci pour vos r�ponses, donc dans l'ordre: 1/ ok d�j� fait. su,sudo,sux sont l� pour �a 2/ c'est vrai que les IP dynamiques changent de moins en moins souvent, mais est-ce que ce n'est pas un peu radical comme solution? ou alors temporairement (1 jour/mois/an?). 3/ Pour le premier: traceroute 211.176.33.46 ... 13 so-0-0-0.mpr3.pao1.us.above.net (64.125.27.81) 179.499 ms 226.335 ms 179.101 ms 14 208.185.161.164.hanaro.com (208.185.161.164) 236.438 ms 223.844 ms 198.113 ms ... et je le touche au 19�me saut Pour le second: traceroute 62.193.236.45 ... 5 wpc0616.amenworld.com (62.193.236.45) 41.739 ms 44.809 ms 41.366 ms 4/ d'o� ce fil 5 et 6/ avec les logs en pj, ok R�duire l'utilisation en local : pas possible pour moi, j' ai un 'trusted network', ssh ne me sert que via internet. Changer le port d'�coute: comment le choisir? < ou >1024? selon /etc/services? Banni�re: d�sactiv�e par d�faut. Connexion sans cl�s: ok, mais le StrictHostKeyChecking sur des IP dynamiques, c'est pas toujours facile.
