Auteur: François Visconte Date: À: Jerome KIEFFER CC: guilde Sujet: Re: attaque force brute SSH
Salut,
Ma réponse est peut etre HS mais j'utilise OpenBSD sur mon firewall avec
PF et j'ai fait comme suit:
- J'utilise un script qui analyse mes logs de connection SSH et qui me
sort toutes les IP qui ont essayé de se connecter
avec un user qui n'existe pas.... (asser crade le script)
- J'utilise une table persistante dans mon firewall ( c'est possible
aussi sous iptables ) de la maniere suivante:
--------------------/etc/pf.conf
-------------------------------------------------------
...
table <bad_guys> persist file "/etc/pf_adm/bad_guys"
...
block drop in quick on $ext_if inet proto tcp from <bad_guys> to any
port $tcp_ssh
....
----------------------------------------------------------------------------------------------
- le script mk_badguys.sh est lancé dans un cron toutes les minutes...
Jerome KIEFFER wrote:
>Salut,
>
>Depuis quelque temps, j'ai une machine qui est attaquée systematiquement par SSH. J'ai noté des centaines de tentatives de connexions avec differents login (aucun n'existait). La machine etant en IP dynamique, j'ai changé d'IP pour calmer la chose mais bon ...
>Existe il un moyen de dire a sshd de ne plus répondre a l'assaillant ?
>(une solution alternative a un analyseur de logs + firewall dynamique)
>
>Merci de vos astuces. A+
>
>