Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 04-07-2009 13:03:57

knostra
Membre
Inscription : 21-06-2009

Blacklister les Ips indésirables

Bonjour a tous,

Comme j'ai remarqué que j'étais souvent victime de tentative d'attaques par ssh sur mon serveur j'ai donc cherché à trouver un moyen d'arrêter ces attaques ou au moins de m'en protéger.

En cherchant je suis tombé sur cette page: Blacklister les Ips indésirables

c'est un script qui ce compose de 4 fichiers et la création de 3 dossiers sur son serveur qui analyse les logs "/var/log/message" d'après ce qu'il conseil, mais moi j'ai plutôt mis "/var/log/auth.log" et qui détecte dans les logs tout les mots ou phrase contenant "password failure" (paramétrable) ensuite comme il y as toujours une ip associé à ce type de phrase elle est blacklister au bout de 3 mauvaise tentative.


Voila je voulais savoir ce que vous en pensiez, je l'ai installé je trouve ça vachement efficace pour l'avoir testé moi-même au bout de trois tentative il m'était impossible de me loguer via ssh sur mon serveur, alors c'est sur il faut bien faire attention bien qu'il y as un moyen de rétablir l'ip blacklisté.

j'espère que vous me direz ce que vous en pensez, si c'est un gadget ou si c'est vraiment utile .

merci

Hors ligne

#2 04-07-2009 14:14:45

guilhem91
Membre
Lieu : Essonne
Distrib. : Squeeze 6.0.1
Noyau : 2.6.32-5-amd64
(G)UI : KDE 4.4.5
Inscription : 26-06-2009
Site Web

Re : Blacklister les Ips indésirables

Salut !

ton astuce a l'air intéressante smile

je ne l'ai pas essayé, mais je la garde sous le coude, si jamais je voulais un jour monter un serveur wink

Debian Squeeze 6.0.1 64 bits sur AMD Phenom II X4 3GHz + Nvidia Geforce 9600 GT

Mon site : GNU/Linux et conseils en vrac...

Hors ligne

#3 04-07-2009 16:02:07

knostra
Membre
Inscription : 21-06-2009

Re : Blacklister les Ips indésirables

bon apparement fail2ban fais la même chose et le fais aussi très bien et d'ailleurs il est plus configurable

Hors ligne

#4 05-07-2009 17:49:55

tux12
Membre
Lieu : ./
Distrib. : Squeeze
Noyau : Linux 2.6.32-5-686-bigmem
(G)UI : KDE
Inscription : 27-02-2008

Re : Blacklister les Ips indésirables

Bonjour,

Le portknocking est une autre manière de gérer ce genre de problématique, en permettant de n'ouvrir le port souhaité (22 dans ton cas) que pendant un certain délai (configurable) et suite à une séquence  de "knocks" sur les ports et dans un ordre définis par l'utilisateur.

Cela permet de limiter les accès au port, et donc les tentatives d'intrusion.
Voir du côté du paquet knockd pour la mise en oeuvre.

@+

Hors ligne

#5 15-06-2010 23:50:43

isfranc
Membre
Distrib. : lenny, squeeze
(G)UI : gnome
Inscription : 03-04-2010

Re : Blacklister les Ips indésirables

Salut,

   Bien sur fail2ban pour le ssh, bien que juste changer de port soit déja une parade qui fonctionne pour la majorité des cas, les robots devant scanner une certaine liste de ports.

bye

Hors ligne

#6 22-06-2010 02:30:37

mecanotox
Membre
Distrib. : Ubuntu 12.10 Quantal
Noyau : 3.5.0-21-generic
(G)UI : XFCE 4.10 + Thunar 1.6
Inscription : 04-06-2008

Re : Blacklister les Ips indésirables

Change déjà le port SSH, sécurise SSH par autentification par clé et rajoute fail2ban. Tu vera tu pourra dormir tranquillement ^^

Hors ligne

Pied de page des forums