[Linux-bruxelles] protection sshd
Benoît Louveaux
benoit.louveaux at gmail.com
Mar 15 Sep 23:43:07 CEST 2009
Salut.
Depuis quelques jours, "on" essaie de se connecter sur sshd :
sshd[23053]: Invalid user admin from 210.83.25.77
sshd[23063]: User mysql not allowed because account is locked
sshd[23073]: Invalid user oracle from 210.83.25.77
sshd[32660]: Invalid user Fabfac from 89.107.21.114
sshd[32664]: Address 89.107.21.114 maps to 39757.net, but this does not
map back to the address - POSSIBLE BREAK-IN ATTEMPT!
sshd[15413]: Invalid user nicole from 213.162.121.51
sshd[15420]: Invalid user faith from 213.162.121.51
etc.
Durant une attaque, ces requêtes arrivent au rythme de une toutes les
2-3 secondes.
Je suis la seule personne a devoir/pouvoir se connecter en ssh et ne me
connecte qu'à partir de quelques machines (IP dynamiques enregistrées
sur dyndns.org).
J'aimerais profiter de votre expérience afin de savoir quelles sont les
différentes mesures efficaces afin de se protéger de ces attaques ?
config sshd || /etc/hosts.allows || iptables ?
Actuellement, j'ai mis en place un "port knocking" des plus rudimentaires:
#iptables -I INPUT 1 -p tcp --dport 12345 -m state --state NEW -m recent
--set --name port_knock
#iptables -I INPUT 2 -p tcp --dport 22 -m state --state NEW -m recent
--update --name port_knock --seconds 60 -j ACCEPT
#iptables -I INPUT 3 -p tcp --dport 22 -m state --state NEW -j DROP
Bien à vous.
Plus d'informations sur la liste de diffusion Linux-bruxelles