Entièrement d’accord avec toi. Le fail2ban, c’est surtout pour arrêter d’avoir
de la merde dans les logs.
Pour les gros doits de l’admin, y a ignoreip :)
> Le 21 janv. 2016 à 13:11, Pierre Colombier <pcdw...@pcdwarf.net> a écrit :
>
> Euh, je trouve que le fail2ban à 3 tentatives en 1 heure, c'est un coup à se
> bloquer soi-même et à avoir des effets indésirables.
> (je fait partie des utilisateurs à gros doigts)
> Mais il y a aussi le problème des 50 usagers derrière un nat. ça serait même
> étonnant qu'il n'y ait pas 3 échecs le matin quand tout le monde se log.
>
> Mais surtout, je ne saisis pas la pertinence en termes de sécurité :
>
> Pour commencer, si le mot de passe est bidon, c'est pas le fail2ban qui te
> protègera, quelque soit le seuil.
>
> Un utilisateur "normal" ne t'emmerde pas, même si il fait 50 tentatives en 10
> minutes.
> Mais si tu le bloque une semaine, cet utilisateur va venir t'emmerder pour se
> faire débloquer.
> Et si cet utilisateur c'est toi, t'es quand même rudement emmerdé.
>
> L'autre souci avec des ban longs et des seuils bas, c'est que tu va te
> traîner des tables de ban assez volumineuses alors que l'attaque a cessé très
> peu de temps après le blocage. Un firewall avec trop de règles, ça pose aussi
> des problèmes de perf.
>
> Le bruteforceur va de toute façon faire exploser les compteurs. Ce qui
> compte, c'est avant tout d'empecher le déni de service.
> Personnellement j'emploie ça
>
> - 10 echecs en moins d'une minute : Possible DoS : ban 5 minutes. (et en même
> temps ça fait réfléchir l'utilisateur étourdi)
> - 50 echecs en moins d'une heure : on est a peu près sur de ne pas avoir
> affaire a un humain et ban pendant 1 heure.
> Si l'attaquant s'obstine, il sera re banis... à ce rythme là, si le mot de
> passe n'est pas trop bidon ça peut tenir des siècles...
> - 500 échecs en moins de 24H : On est dans le cas d'un attaquant qui
> s'obstine ou qui joue avec les seuils de détection => ban 8 jours.
>
>
>
> On 21/01/2016 07:44, David Ponzone wrote:
>> Moi je les fail2ban pour une semaine, si j'ai vu 3 tentatives en 1h.
>>
>> David Ponzone
>>
>>
>>
>>> Le 21 janv. 2016 à 04:42, Michel Py <mic...@arneill-py.sacramento.ca.us> a
>>> écrit :
>>>
>>> Bonjour à tous,
>>>
>>> Le feed BGP de Michel évolue : je suis en train de ré-écrire la bidouille
>>> bash / python en beta-test pour en faire une "vraie" app : les préfixes
>>> dans une base de données sqlite3 avec des dates. Et des communautés BGP
>>> séparées, par demande populaire.
>>>
>>> La question du jour : quand un { zombie | abruti | mec avec des gros doigts
>>> | hacker } essaie un telnet en root sur mon IP, çà rentre dans la
>>> moulinette au premier essai. Pour combien de temps ? 24 h ?
>>>
>>> Michel
>>>
>>>
>>> ---------------------------
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>
>> ---------------------------
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
