Le 13256ième jour après Epoch, Yves Rutschle écrivait: > On Tue, Apr 18, 2006 at 11:37:48PM +0200, Jean Baptiste Balleyguier wrote: >> je crois que je suis victime d'une attaque par dictionnaire sur mon serveur >> ssh depuis une adresse 64.182.37.226. Mes logs m'indiquen t l'erreur >> suivante : "Invalid user ... from ..." et ça pendant des lignes et des >> lignes, avec la même ip, et le login qui change. > > Ça arrive... > >> J'aimerai savoir comment protéger mon ssh, pour refuser cette adresse >> spécifique au moins de se connecter à mon serveur ssh. >> J'ai bien essayé d'éditer le /etc/hosts.allow, mais visiblement ça n'a pas >> changé grand chose... >> une idée ??? > > Quand j'ai la motivation, je fais: > > iptables -A INPUT -p tcp -s <l'aggresseur> -j REJECT --reject-with tcp-reset > > Avec encore plus de motivation, on pourrait faire un script > qui suit les logs et rejete l'adresse automatiquement.
Ou alors: iptables -A INPUT -i eth0 -p tcp --dport ssh -m state --state NEW -m recent --set --name SSH iptables -A INPUT -i eth0 -p tcp --dport ssh -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP Pas de besoins de motivations ;) Sauf pour le mettre la première fois en place... ... et je l'ai pas encore mis ;)
