Re: Attaques SSH

Top Page

Reply to this message
Author: Bruno Vernay
Date:  
To: guilde
CC: guilde
Subject: Re: Attaques SSH
Pour info DenyHosts centralise les informations : il peut bloquer des
attaques au niveau du /etc/hosts.deny avant même quelle n'arrive sur votre
machine.
Bruno


On Nov 19, 2007 11:12 PM, Olivier Allard-Jacquin <olivieraj@???> wrote:

>        Bonsoir,

>
> Guillaume Allegre a écrit :
> > Le lun 19 nov 2007 à 19:29 +0100, Olivier Allard-Jacquin a écrit :
> >
> >> - Avec netfilter/iptables, si on veut laisser le port 22 ouvert mais en
> >> le protégeant un minimum, il suffit d'écrire :
> >>      iptables -A INPUT -p tcp --dport 22 -m state --state
> NEW,ESTABLISHED -j
> >> ACCEPT
> >>      iptables -A OUTPUT -p tcp --sport 22 -m state--state ESTABLISHED
> -j ACCEPT
> >> Avec ceci, les connexions ssh "normales" seront autorisées. Par contre,
> >> les "bidouillages" avec des fausses handshake, de la "prise
> >> d'empreinte", etc... seront bloqués.

> >>
> >>      Pour plus d'infos sur le firewall sous Linux :
> >> http://olivieraj.free.fr/fr/linux/information/firewall/

> >
> > Je propose aussi une solution que je n'ai pas vu indiquée ici :
> > elle permet de limiter la fréquence d'accès au port 22 (ou autre)
> > pour chaque IP, individuellement :
> >
> > # Pas plus de 2 tentatives SSH par minute
> > iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m
> recent --set
> > iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m
> recent --update --seconds 60 --hitcount 3 -j DROP
> >
> >
> > Tout repose sur l'utilisation de l'extension "recent" de netfilter.
> > Très efficace pour "nettoyer" les logs des tentatives à rallonge...
>
>        Dans le même genre d'idée, il y a aussi "--limit" qui doit
> permettre le
> même genre de chose. J'ignore ce qui est le plus efficace :

>
> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit
> --limit 2/minute -j ACCEPT
>
>        Cordialement,

>
>                                        Olivier
> --
> ~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
>       /   / \  / \   \   Web:  http://olivieraj.free.fr/
>      /___/  /  \  \___\  Mail: olivieraj@???
> ~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!

>
>