Vincent Lefevre a écrit :
Oui, comme le port knocking ça permet au moins d'éviter les scans de
ports et une grande partie des attaques automatisées.
et fail2ban (que j'avais cité), qui permet de bannir une machine
(i.e. qui se retrouve filtrée via iptables pendant un certain
temps configurable) après un certain nombre (configurable) de
connexions infructueuses. Donc sauf à avoir un mot de passe
trivial, il est quasiment impossible de le trouver.
Je ne veux pas dénigrer fail2ban, mais pour moi son intérêt se limite à
alléger les logs du démon SSH, parce que 10000 lignes de tentatives de
connexion par jour, ça encombre. Si les mots de passe sont suffisamment
forts, ou si carrément l'authentification par SSH est désactivée, les
attaques robotisées par force brute et dictionnaire n'ont aucune chance
de réussir. Il ne reste donc que l'exploitation d'une faille de sécurité
du démon SSH contre laquelle fail2ban ne protègera pas, contrairement au
DNS dynamique, port knocking et assimilés.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
