Le 24/09/19 à 12:26, Olivier <[email protected]> a écrit : > Pourquoi oublier le port knocking ?
Je ne sais pas ce que Daniel (Huhardeaux) voulait dire, mais je suppose qu'il déconseillait ça car ça ne fait que compliquer la configuration ssh (donc amha ça fragilise, plus c'est simple et moins il y a de risque d'erreur de conf qui ouvre une brèche) sans apporter de sécurité supplémentaire. Et amha c'est pareil pour le changement de port. Le plus efficace reste de limiter la connexion ssh aux clés, et de laisser se casser les dents tous ceux qui essaient des mot de passe. J'en vois passer des tonnes, mais c'est pas laisser qq connexions ouvertes sans y répondre qui charge la machine (installer fail2ban a en revanche un coût, faut analyser les logs et ajouter des règles iptables, c'est négligeable mais supérieur à ne rien faire, donc sans intérêt si les ban iptables ne sont pas utilisés pour reporter aux services abuse concernés). -- Daniel À force d'aller au fond des choses, on y reste. Jean Cocteau
