Pour info DenyHosts centralise les informations : il peut bloquer des
attaques au niveau du /etc/hosts.deny avant même quelle n'arrive sur votre
machine.
Bruno
On Nov 19, 2007 11:12 PM, Olivier Allard-Jacquin <olivieraj@???> wrote:
> Bonsoir,
>
> Guillaume Allegre a écrit :
> > Le lun 19 nov 2007 à 19:29 +0100, Olivier Allard-Jacquin a écrit :
> >
> >> - Avec netfilter/iptables, si on veut laisser le port 22 ouvert mais en
> >> le protégeant un minimum, il suffit d'écrire :
> >> iptables -A INPUT -p tcp --dport 22 -m state --state
> NEW,ESTABLISHED -j
> >> ACCEPT
> >> iptables -A OUTPUT -p tcp --sport 22 -m state--state ESTABLISHED
> -j ACCEPT
> >> Avec ceci, les connexions ssh "normales" seront autorisées. Par contre,
> >> les "bidouillages" avec des fausses handshake, de la "prise
> >> d'empreinte", etc... seront bloqués.
> >>
> >> Pour plus d'infos sur le firewall sous Linux :
> >> http://olivieraj.free.fr/fr/linux/information/firewall/
> >
> > Je propose aussi une solution que je n'ai pas vu indiquée ici :
> > elle permet de limiter la fréquence d'accès au port 22 (ou autre)
> > pour chaque IP, individuellement :
> >
> > # Pas plus de 2 tentatives SSH par minute
> > iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m
> recent --set
> > iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m
> recent --update --seconds 60 --hitcount 3 -j DROP
> >
> >
> > Tout repose sur l'utilisation de l'extension "recent" de netfilter.
> > Très efficace pour "nettoyer" les logs des tentatives à rallonge...
>
> Dans le même genre d'idée, il y a aussi "--limit" qui doit
> permettre le
> même genre de chose. J'ignore ce qui est le plus efficace :
>
> iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit
> --limit 2/minute -j ACCEPT
>
> Cordialement,
>
> Olivier
> --
> ~~~~~~~ _____/\_____ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> Phoenix / _ \/ _ \ Olivier Allard-Jacquin
> / / \ / \ \ Web: http://olivieraj.free.fr/
> /___/ / \ \___\ Mail: olivieraj@???
> ~~~~ ///// ///\\\ \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!
>
>