On 2016-04-14 14:04:59 +0200, Eric wrote: > J'ai eu il y à quelques années un serveur qui subissait des centaines de > tentatives d'intrustion par ssh, et > j'ai résolu le problème avec trois ligne d'iptables qui banissait pour 15 > minutes toutes ip qui échouait 3 fois à une tentative de connection.
C'est exactement le genre de chose que fait fail2ban, sauf que... > 15 minutes, parce que ça suffit à empécher toute attaque de type "force > brute" et qu'il m'arrive de planter trois fois de suite la saisie de mon mot > de passe.... fail2ban peut whitelister des adresses IP (ce que j'ai évidemment fait). Pour ma part, je n'ai habituellement pas de mot de passe à taper car j'utilise des clés RSA, mais en cas de problème réseau, ça peut aussi provoquer des échecs de connexion (ce qui arrivait il y a quelques années avec mon FAI 3G qui avait mal configuré les règles de filtrage de son réseau). fail2ban peut aussi s'occuper des autres services. Malheureusement il ne supporte pas postscreen (ce qui serait bien utile, car un gros lourd a fait plus de 100000 connexions à mon serveur de mail en 15 heures la nuit dernière). Mais on peut aussi écrire ses propres règles. Je vais tenter d'en ajouter une pour postscreen. -- Vincent Lefèvre <[email protected]> - Web: <https://www.vinc17.net/> 100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/> Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)
