| fail2ban : Éviter les attaques bruteforce sur un serveur SSH |
 |
 |
 |
| Ubuntu - Sécurité et Réseau | |
| Dimanche, 23 Novembre 2008 20:03 | |
|
SSH est très pratique pour accéder à son PC à distance (sécurisé, crypté, ...) Pour pouvoir accéder à son PC depuis n'importe quel endroit de la terre, il faut avoir redirigé le port 22 (par défaut) vers le PC où est installé le serveur SSH et ouvert ce port sur son pare-feu mais ceci « ouvre la porte » à d'éventuelles personnes mal intentionnées... Si vous avez un serveur SSH installé et actif et que vous remarquez de l'activité réseau (diode clignotante sur la Freebox par exemple) alors que vous ne faites rien de spécial, vous pouvez vérifier les log du système pour voir si effectivement quelqu'un tente de s'authentifier sur votre PC. Le fichier /var/log/auth.log est celui qui contient les traces de tentatives d'intrusion par SSH. Si vous y trouvez des lignes comme : Failed password for invalid user nom_utilisateur from x.x.x.x port nnnn ssh2 ou Invalid user nom_utilisateur from x.x.x.x Quelqu'un essaie bien de s'identifier sur votre PC et fail2ban vous sera utile. Installez fail2ban. Après plusieurs tentatives d'identification, il modifiera les règles de pare-feu d'iptable pour rejeter l'IP en question pour une durée, par défaut de 6 minutes. Cette durée est paramétrable dans le fichier /etc/fail2ban/jail.conf en changeant la valeur (en ms) de la ligne : bantime = 600 |
|
| Mis à jour ( Lundi, 24 Novembre 2008 01:32 ) | |