Entièrement d’accord avec toi. Le fail2ban, c’est surtout pour arrêter d’avoir de la merde dans les logs. Pour les gros doits de l’admin, y a ignoreip :)
> Le 21 janv. 2016 à 13:11, Pierre Colombier <pcdw...@pcdwarf.net> a écrit : > > Euh, je trouve que le fail2ban à 3 tentatives en 1 heure, c'est un coup à se > bloquer soi-même et à avoir des effets indésirables. > (je fait partie des utilisateurs à gros doigts) > Mais il y a aussi le problème des 50 usagers derrière un nat. ça serait même > étonnant qu'il n'y ait pas 3 échecs le matin quand tout le monde se log. > > Mais surtout, je ne saisis pas la pertinence en termes de sécurité : > > Pour commencer, si le mot de passe est bidon, c'est pas le fail2ban qui te > protègera, quelque soit le seuil. > > Un utilisateur "normal" ne t'emmerde pas, même si il fait 50 tentatives en 10 > minutes. > Mais si tu le bloque une semaine, cet utilisateur va venir t'emmerder pour se > faire débloquer. > Et si cet utilisateur c'est toi, t'es quand même rudement emmerdé. > > L'autre souci avec des ban longs et des seuils bas, c'est que tu va te > traîner des tables de ban assez volumineuses alors que l'attaque a cessé très > peu de temps après le blocage. Un firewall avec trop de règles, ça pose aussi > des problèmes de perf. > > Le bruteforceur va de toute façon faire exploser les compteurs. Ce qui > compte, c'est avant tout d'empecher le déni de service. > Personnellement j'emploie ça > > - 10 echecs en moins d'une minute : Possible DoS : ban 5 minutes. (et en même > temps ça fait réfléchir l'utilisateur étourdi) > - 50 echecs en moins d'une heure : on est a peu près sur de ne pas avoir > affaire a un humain et ban pendant 1 heure. > Si l'attaquant s'obstine, il sera re banis... à ce rythme là, si le mot de > passe n'est pas trop bidon ça peut tenir des siècles... > - 500 échecs en moins de 24H : On est dans le cas d'un attaquant qui > s'obstine ou qui joue avec les seuils de détection => ban 8 jours. > > > > On 21/01/2016 07:44, David Ponzone wrote: >> Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h. >> >> David Ponzone >> >> >> >>> Le 21 janv. 2016 à 04:42, Michel Py <mic...@arneill-py.sacramento.ca.us> a >>> écrit : >>> >>> Bonjour à tous, >>> >>> Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille >>> bash / python en beta-test pour en faire une "vraie" app : les préfixes >>> dans une base de données sqlite3 avec des dates. Et des communautés BGP >>> séparées, par demande populaire. >>> >>> La question du jour : quand un { zombie | abruti | mec avec des gros doigts >>> | hacker } essaie un telnet en root sur mon IP, çà rentre dans la >>> moulinette au premier essai. Pour combien de temps ? 24 h ? >>> >>> Michel >>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/