Re: Attaques SSH

Top Page

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
To: guilde
Subject: Re: Attaques SSH
    Bonsoir,

Guillaume Allegre a écrit :
> Le lun 19 nov 2007 à 19:29 +0100, Olivier Allard-Jacquin a écrit :
>
>> - Avec netfilter/iptables, si on veut laisser le port 22 ouvert mais en
>> le protégeant un minimum, il suffit d'écrire :
>>     iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j
>> ACCEPT
>>     iptables -A OUTPUT -p tcp --sport 22 -m state--state ESTABLISHED -j ACCEPT
>> Avec ceci, les connexions ssh "normales" seront autorisées. Par contre,
>> les "bidouillages" avec des fausses handshake, de la "prise
>> d'empreinte", etc... seront bloqués.

>>
>>     Pour plus d'infos sur le firewall sous Linux :
>> http://olivieraj.free.fr/fr/linux/information/firewall/

>
> Je propose aussi une solution que je n'ai pas vu indiquée ici :
> elle permet de limiter la fréquence d'accès au port 22 (ou autre)
> pour chaque IP, individuellement :
>
> # Pas plus de 2 tentatives SSH par minute
> iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
> iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP
>
>
> Tout repose sur l'utilisation de l'extension "recent" de netfilter.
> Très efficace pour "nettoyer" les logs des tentatives à rallonge...


    Dans le même genre d'idée, il y a aussi "--limit" qui doit permettre le
même genre de chose. J'ignore ce qui est le plus efficace :


iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit
--limit 2/minute -j ACCEPT

    Cordialement,


                    Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!