Re: Attaques SSH

Top Page

Reply to this message
Author: Guillaume Allegre
Date:  
To: guilde
Subject: Re: Attaques SSH
Le lun 19 nov 2007 à 19:29 +0100, Olivier Allard-Jacquin a écrit :

> - Avec netfilter/iptables, si on veut laisser le port 22 ouvert mais en
> le protégeant un minimum, il suffit d'écrire :
>     iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j
> ACCEPT
>     iptables -A OUTPUT -p tcp --sport 22 -m state--state ESTABLISHED -j ACCEPT
> Avec ceci, les connexions ssh "normales" seront autorisées. Par contre,
> les "bidouillages" avec des fausses handshake, de la "prise
> d'empreinte", etc... seront bloqués.

>
>     Pour plus d'infos sur le firewall sous Linux :
> http://olivieraj.free.fr/fr/linux/information/firewall/


Je propose aussi une solution que je n'ai pas vu indiquée ici :
elle permet de limiter la fréquence d'accès au port 22 (ou autre)
pour chaque IP, individuellement :

# Pas plus de 2 tentatives SSH par minute
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP


Tout repose sur l'utilisation de l'extension "recent" de netfilter.
Très efficace pour "nettoyer" les logs des tentatives à rallonge...

-- 
 ° /\    Guillaume Allègre  
  /~~\/\   Allegre.Guillaume@???
 /   /~~\    tél. 04.76.63.26.99