Bonjour, Votre machine est souvent attaquée?
Vous recevez un résumé logcheck mais il est plein d'attaques automatiques, ce qui fait que vous ne voyez plus les éléments importants? (les attaques ciblées) Les attaques automatiques sont un risque pour votre système car vos utilisateurs n'ont pas toujours d'excellents mots de passe? (même si vous vérifiez de temps en temps, ou que vous utilisez un web service de confiance qui vérifie que le hash du mdp n'est pas connu avant de l'accepter). Depuis que je fusionne plusieurs blocklist (voir https://attacks.alphanet.ch/), j'ai moins de souci de ce genre, sans trop de problèmes avec les utilisateurs. Ces blocklist viennent par exemple de plusieurs honeypots (SSH, Postfix SASL, Courier IMAP, HTTP/HTTPS) que je gère. Ainsi que d'un système qui pour chaque adresse IP nouvellement vue par mon firewall principal vérifie sur plusieurs blocklists dynamiques d'Internet. Avoir un /24 perpétuellement scanné aide ... Je fournis un script qui télécharge ma blocklist et met à jour une liste ipset sur votre machine (ipset est vraiment plus efficace qu'iptables pour plus de 10'000 entrées --- ma liste fait un peu moins de 200k entrées actuellement -- la config iptables se résume à 2 lignes). Si vous êtes intéressés à tester ce système, gratuit et sans garantie de blocklist statique, contactez-moi en privé (et pas sur la liste) et je vous fournirai un script testé avec Debian oldstable et stable. N'hésitez pas à partager vos expériences de blocage ou de honeypots sur la liste: vos techniques, vos blocklists statiques ou dynamiques, etc. _______________________________________________ gull mailing list gull@forum.linux-gull.ch https://forum.linux-gull.ch/mailman/listinfo/gull
