Topic: Bloquer les tentatives connexion ssh

salut

> >    assez regulierement j'ai des tentatives de connexion par SSH venant ds mes
> >    logs du genre:
> >    Did not receive identification string from 210.102.192.90
> >    ou encore
> >    Did not receive identification string from UNKNOWN.

fail2ban, sshblack
...
Utilises fwknop.

C'est en anglais: http://www.cipherdyne.org/fwknop/

Tu peux regarder du côté de knockd aussi :

http://debianworld.org/securite.knockd


Je suis surpris que personne n'ai proposé une autre solution bien plus
rapide et légère : le module "recent" de iptables qui va limiter la
fréquence des tentatives. Tu peux lui dire par exemple :
pas plus de trois tentatives en 60 secondes, sinon on bloque l'IP pendant
60 secondes et on note ca, mais pas plus de 10 fois par minutes

C'est direct dans le noyau, sans rien de plus qu'une simple règle. Tu
verra les alertes passer, mais beaucoup moins souvent, elles ne chargeront
pas tes logs et les trames TCP seront éliminées au plus bas niveau (donc
moins de charge).

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
--name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent
--update --seconds 60 --hitcount 3 --rttl --name SSH -m limit --limit 10/m
-j LOG
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent
--update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP
# Accepter les connexions SSH
iptables -A INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT


Fanfan
-- http://www.cerbelle.net - http://www.afdm-idf.org