[Linux-bruxelles] port remapping - sécurité SSH
Didier MISSON
didier.misson at total.com
Mar 2 Mar 13:24:39 CET 2010
Dans tous les cas, pour sécuriser un serveur SSH, tu installes le package « fail2ban ».
Ce package va détecter les essais multiples (attaque par dictionnaire, etc) et bloquer l’ IP de ton attaquant.
Par exemple, ça peut bloquer après 5 essais l’ IP source pendant 10 minutes…
Ça limite déjà fortement les attaques : en général, l’attaquant (le programme qui scanne et essayer des mots de passe) passe à une autre victime.
Ça se configure ! Si tu veux bloquer après 3 essais pendant 1 mois… c’est possible…
Mais je déconseille quand même les blocages longs !
On peut faire soi-même une erreur, par exemple depuis un autre PC avec un clavier mal configuré, etc…
Ce n’est pas nécessaire de bloquer aussi longtemps.
Bloquer pendant 10 ou 30 minutes, c’est déjà très bien.
Après le délais configuré, l’ IP est de nouveau libérée (mais comme je le disais, il est rare de rattraper une attaque de la même IP source)
;-)
L’utilisation de clés SSH est une bonne idée aussi, mais moins facile si tu te balades sans ton Pc portable et que tu dois accéder en SSH sur des PC qui ne sont pas à toi.
Il faut par ex, avoir sa clé SSH sur une clé USB…
Bon après-midi,
From: linux-bruxelles-bounces at lists.bxlug.be [mailto:linux-bruxelles-bounces at lists.bxlug.be] On Behalf Of Manuel Schulte
Sent: vendredi 26 février 2010 23:20
To: Mailing-list du BxLUG
Subject: Re: [Linux-bruxelles] port remapping
y a aussi le param du protocol à utiliser, et là j'hésite:
es-ce tcp ou udp qu'il faut cocher ?
b/ Limiter le nombre de tentatives d'accès, imposer un temps d'attente de min. 30 secondes entre 2 tentatives infructueuses et tout bloquer après 3 tentatives infructueuses. (accessoirement utiliser un "banner" à afficher lors d'un login réussi / utile uniquement pour un SSH que tu ne serais pas le seul à utiliser... pour avertir les utilisateurs de conséquences en cas d'utilisation frauduleuse de la connection...)
Bonne connections,
A++
Manu
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://listes.domainepublic.net/pipermail/linux-bruxelles/attachments/20100302/0b25919e/attachment-0001.html>
Plus d'informations sur la liste de diffusion Linux-bruxelles