On Fri, 24 Feb 2006, Jerome KIEFFER wrote:
> Salut,
Bonjour,
> Depuis quelque temps, j'ai une machine qui est attaquée
> systematiquement par SSH. J'ai noté des centaines de tentatives de
> connexions avec differents login (aucun n'existait). La machine etant
> en IP dynamique, j'ai changé d'IP pour calmer la chose mais bon ...
> Existe il un moyen de dire a sshd de ne plus répondre a l'assaillant ?
> (une solution alternative a un analyseur de logs + firewall dynamique)
Au boulot, nous utilisons iptables pour bloquer les connexions trop
fréquentes (5/min) provenant de la même machine, avec ces deux règles:
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set \
--name SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update \
--seconds 60 --hitcount 5 --rttl --name SSH -j DROP
Avec ça, le nombre de tentatives est tombé de manière drastique. Ça
bloque les attaques de dictionnaire en tout cas.
--
Nicolas
