Je n'arrête pas d'avoir des tentatives de connexion ssh sur ma machine, et ça
m'énerve.
Quelqu'un aurait-il un 'machin' qui via iptables blacklisterai automatiquement
une IP faisant plus de n tentatives en x minutes ?
C'est difficile de confier ça à crontab (ou alors on l'exécute toutes les
minutes, c'est lourd)
--
Francois Sauterey
@: Francois_AT_Sauterey.org
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Wed, Dec 28, 2005 à 12:14:08AM +0100, Francois Sauterey a écrit
Je n'arrête pas d'avoir des tentatives de connexion ssh sur ma machine, et ça m'énerve. Quelqu'un aurait-il un 'machin' qui via iptables blacklisterai automatiquement une IP faisant plus de n tentatives en x minutes ? C'est difficile de confier ça à crontab (ou alors on l'exécute toutes les minutes, c'est lourd)
apt-get install fail2ban
-- Francois Mescam
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Wed, Dec 28, 2005 à 12:14:08AM +0100, Francois Sauterey a écrit
Je n'arrête pas d'avoir des tentatives de connexion ssh sur ma machine, et ça
m'énerve.
Quelqu'un aurait-il un 'machin' qui via iptables blacklisterai automatiquement
une IP faisant plus de n tentatives en x minutes ?
C'est difficile de confier ça à crontab (ou alors on l'exécute toutes les
minutes, c'est lourd)
apt-get install fail2ban
--
Francois Mescam
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Wed, Dec 28, 2005 à 12:14:08AM +0100, Francois Sauterey a écrit
Je n'arrête pas d'avoir des tentatives de connexion ssh sur ma machine, et ça m'énerve. Quelqu'un aurait-il un 'machin' qui via iptables blacklisterai automatiquement une IP faisant plus de n tentatives en x minutes ? C'est difficile de confier ça à crontab (ou alors on l'exécute toutes les minutes, c'est lourd)
apt-get install fail2ban
-- Francois Mescam
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Laurent CARON
Francois Sauterey a écrit :
Je n'arrête pas d'avoir des tentatives de connexion ssh sur ma machine, et ça m'énerve. Quelqu'un aurait-il un 'machin' qui via iptables blacklisterai automatiquement une IP faisant plus de n tentatives en x minutes ? C'est difficile de confier ça à crontab (ou alors on l'exécute toutes les minutes, c'est lourd)
Pourquoi ne pas utiliser le portknocking (apt-get install knockd)
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Francois Sauterey a écrit :
Je n'arrête pas d'avoir des tentatives de connexion ssh sur ma machine, et ça
m'énerve.
Quelqu'un aurait-il un 'machin' qui via iptables blacklisterai automatiquement
une IP faisant plus de n tentatives en x minutes ?
C'est difficile de confier ça à crontab (ou alors on l'exécute toutes les
minutes, c'est lourd)
Pourquoi ne pas utiliser le portknocking (apt-get install knockd)
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Je n'arrête pas d'avoir des tentatives de connexion ssh sur ma machine, et ça m'énerve. Quelqu'un aurait-il un 'machin' qui via iptables blacklisterai automatiquement une IP faisant plus de n tentatives en x minutes ? C'est difficile de confier ça à crontab (ou alors on l'exécute toutes les minutes, c'est lourd)
Pourquoi ne pas utiliser le portknocking (apt-get install knockd)
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Daniel Huhardeaux
Francois Sauterey a écrit :
Je n'arrête pas d'avoir des tentatives de connexion ssh sur ma machine, et ça m'énerve. Quelqu'un aurait-il un 'machin' qui via iptables blacklisterai automatiquement une IP faisant plus de n tentatives en x minutes ? C'est difficile de confier ça à crontab (ou alors on l'exécute toutes les minutes, c'est lourd)
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Francois Sauterey a écrit :
Je n'arrête pas d'avoir des tentatives de connexion ssh sur ma machine, et ça
m'énerve.
Quelqu'un aurait-il un 'machin' qui via iptables blacklisterai automatiquement
une IP faisant plus de n tentatives en x minutes ?
C'est difficile de confier ça à crontab (ou alors on l'exécute toutes les
minutes, c'est lourd)
Je n'arrête pas d'avoir des tentatives de connexion ssh sur ma machine, et ça m'énerve. Quelqu'un aurait-il un 'machin' qui via iptables blacklisterai automatiquement une IP faisant plus de n tentatives en x minutes ? C'est difficile de confier ça à crontab (ou alors on l'exécute toutes les minutes, c'est lourd)
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Francois Sauterey
Le Mercredi 28 Décembre 2005 00:56, Francois Mescam a écrit :
Le Wed, Dec 28, 2005 à 12:14:08AM +0100, Francois Sauterey a écrit
> Je n'arrête pas d'avoir des tentatives de connexion ssh sur ma machine, > et ça m'énerve. > Quelqu'un aurait-il un 'machin' qui via iptables blacklisterai > automatiquement une IP faisant plus de n tentatives en x minutes ? > C'est difficile de confier ça à crontab (ou alors on l'exécute toutes > les minutes, c'est lourd)
apt-get install fail2ban
Pile poil ce qu'il me fallait... il est pas dans sarge, mais l'install du paquet fonctionne très bien (pas de dépendance problématique)
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Mercredi 28 Décembre 2005 00:56, Francois Mescam a écrit :
Le Wed, Dec 28, 2005 à 12:14:08AM +0100, Francois Sauterey a écrit
> Je n'arrête pas d'avoir des tentatives de connexion ssh sur ma machine,
> et ça m'énerve.
> Quelqu'un aurait-il un 'machin' qui via iptables blacklisterai
> automatiquement une IP faisant plus de n tentatives en x minutes ?
> C'est difficile de confier ça à crontab (ou alors on l'exécute toutes
> les minutes, c'est lourd)
apt-get install fail2ban
Pile poil ce qu'il me fallait... il est pas dans sarge, mais l'install du
paquet fonctionne très bien (pas de dépendance problématique)
Le Mercredi 28 Décembre 2005 00:56, Francois Mescam a écrit :
Le Wed, Dec 28, 2005 à 12:14:08AM +0100, Francois Sauterey a écrit
> Je n'arrête pas d'avoir des tentatives de connexion ssh sur ma machine, > et ça m'énerve. > Quelqu'un aurait-il un 'machin' qui via iptables blacklisterai > automatiquement une IP faisant plus de n tentatives en x minutes ? > C'est difficile de confier ça à crontab (ou alors on l'exécute toutes > les minutes, c'est lourd)
apt-get install fail2ban
Pile poil ce qu'il me fallait... il est pas dans sarge, mais l'install du paquet fonctionne très bien (pas de dépendance problématique)
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Armando_hardz
Daniel Huhardeaux a écrit :
Francois Sauterey a écrit :
Je n'arrête pas d'avoir des tentatives de connexion ssh sur ma machine, et ça m'énerve. Quelqu'un aurait-il un 'machin' qui via iptables blacklisterai automatiquement une IP faisant plus de n tentatives en x minutes ? C'est difficile de confier ça à crontab (ou alors on l'exécute toutes les minutes, c'est lourd)
Changer le port ssh. C'est radical.
ou utilisé iptables.....
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP
Dans ce cas ou bout de 3 connection echoué l'ip est banni pendant 90 secondes.
Une p'tite url pour couronner le tout : http://www.debian-administration.org/articles/250
Martins Armando
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Daniel Huhardeaux a écrit :
Francois Sauterey a écrit :
Je n'arrête pas d'avoir des tentatives de connexion ssh sur ma
machine, et ça m'énerve.
Quelqu'un aurait-il un 'machin' qui via iptables blacklisterai
automatiquement une IP faisant plus de n tentatives en x minutes ?
C'est difficile de confier ça à crontab (ou alors on l'exécute
toutes les minutes, c'est lourd)
Changer le port ssh. C'est radical.
ou utilisé iptables.....
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent
--update --seconds 90 --hitcount 3 -j DROP
Dans ce cas ou bout de 3 connection echoué l'ip est banni pendant 90
secondes.
Une p'tite url pour couronner le tout :
http://www.debian-administration.org/articles/250
Martins Armando
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Je n'arrête pas d'avoir des tentatives de connexion ssh sur ma machine, et ça m'énerve. Quelqu'un aurait-il un 'machin' qui via iptables blacklisterai automatiquement une IP faisant plus de n tentatives en x minutes ? C'est difficile de confier ça à crontab (ou alors on l'exécute toutes les minutes, c'est lourd)
Changer le port ssh. C'est radical.
ou utilisé iptables.....
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP
Dans ce cas ou bout de 3 connection echoué l'ip est banni pendant 90 secondes.
Une p'tite url pour couronner le tout : http://www.debian-administration.org/articles/250
Martins Armando
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Pascal
Salut,
Armando_hardz a écrit :
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP
Dans ce cas ou bout de 3 connection echoué l'ip est banni pendant 90 secondes.
Comment fait iptables pour savoir qu'une conneXion a échoué ?
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Salut,
Armando_hardz a écrit :
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent
--update --seconds 90 --hitcount 3 -j DROP
Dans ce cas ou bout de 3 connection echoué l'ip est banni pendant 90
secondes.
Comment fait iptables pour savoir qu'une conneXion a échoué ?
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Thu, 29 Dec 2005 01:13:01 +0100 Armando_hardz a écrit:
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP
Impeccable ton truc, j'ai patché mon noyau et compilé le module ipt_recent, ça marche au poil et c'est très simple.
François Boisson
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Armando_hardz
François TOURDE a écrit :
Le 13146ième jour après Epoch, écrivait:
Salut,
Armando_hardz a écrit :
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP Dans ce cas ou bout de 3 connection echoué l'ip est banni pendant 90 secondes.
Comment fait iptables pour savoir qu'une conneXion a échoué ?
C'est pas l'échec qui est ici mesuré, mais le nb de connections en 90 secondes. Dans l'exemple, si il y a eu plus de 3 packets SYN en 90 secondes, alors l'IP est bloquée. Que les tentatives soient ou non fructueuses. Il faut donc faire attention aux gourmands du ssh (comme moi) qui peuvent être BL.
Exact je me suis assez mal exprimé dans mon premier mail c'est le nombre de SYN qui est limité sur 90 secondes.
Il n'empeche que si tu possede des addresses ip fixe tu peut whitelisté les machines autorisé dans iptables.....
Martins Armando
-- Pensez
François TOURDE a écrit :
Le 13146ième jour après Epoch,
pascal.mail@plouf.fr.eu.org écrivait:
Salut,
Armando_hardz a écrit :
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent
--set
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent
--update --seconds 90 --hitcount 3 -j DROP
Dans ce cas ou bout de 3 connection echoué l'ip est banni pendant 90
secondes.
Comment fait iptables pour savoir qu'une conneXion a échoué ?
C'est pas l'échec qui est ici mesuré, mais le nb de connections en 90
secondes. Dans l'exemple, si il y a eu plus de 3 packets SYN en 90
secondes, alors l'IP est bloquée. Que les tentatives soient ou non
fructueuses. Il faut donc faire attention aux gourmands du ssh (comme
moi) qui peuvent être BL.
Exact je me suis assez mal exprimé dans mon premier mail c'est le nombre
de SYN qui est limité sur 90 secondes.
Il n'empeche que si tu possede des addresses ip fixe tu peut whitelisté
les machines autorisé dans iptables.....
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP Dans ce cas ou bout de 3 connection echoué l'ip est banni pendant 90 secondes.
Comment fait iptables pour savoir qu'une conneXion a échoué ?
C'est pas l'échec qui est ici mesuré, mais le nb de connections en 90 secondes. Dans l'exemple, si il y a eu plus de 3 packets SYN en 90 secondes, alors l'IP est bloquée. Que les tentatives soient ou non fructueuses. Il faut donc faire attention aux gourmands du ssh (comme moi) qui peuvent être BL.
Exact je me suis assez mal exprimé dans mon premier mail c'est le nombre de SYN qui est limité sur 90 secondes.
Il n'empeche que si tu possede des addresses ip fixe tu peut whitelisté les machines autorisé dans iptables.....
Martins Armando
-- Pensez
David Dumortier
Bonjour,
François Boisson a écrit :
Le Thu, 29 Dec 2005 01:13:01 +0100 Armando_hardz a écrit:
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP
Impeccable ton truc, j'ai patché mon noyau et compilé le module ipt_recent, ça marche au poil et c'est très simple.
Est-ce que un --limit 1/minute ne suffirait pas ? Cela laisserait le soin à ssh de compter les "failure", je ne pense pas que ssh ré-ouvre une connexion à chaque entrée de mot de passe (non vérifié). Sinon le --set défini un compteur, non ? François, pour le patch je suppose que tu es en kernel 2.4 ? Dans un 2.6.14 c'est intégré ? Reste que la méthode est élégante.
François Boisson
-- David Dumortier
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Bonjour,
François Boisson a écrit :
Le Thu, 29 Dec 2005 01:13:01 +0100
Armando_hardz <armando@hardz.net> a écrit:
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent
--update --seconds 90 --hitcount 3 -j DROP
Impeccable ton truc, j'ai patché mon noyau et compilé le module
ipt_recent, ça marche au poil et c'est très simple.
Est-ce que un --limit 1/minute ne suffirait pas ? Cela laisserait le
soin à ssh de compter les "failure", je ne pense pas que ssh ré-ouvre
une connexion à chaque entrée de mot de passe (non vérifié).
Sinon le --set défini un compteur, non ?
François, pour le patch je suppose que tu es en kernel 2.4 ? Dans un
2.6.14 c'est intégré ?
Reste que la méthode est élégante.
François Boisson
--
David Dumortier
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Thu, 29 Dec 2005 01:13:01 +0100 Armando_hardz a écrit:
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 90 --hitcount 3 -j DROP
Impeccable ton truc, j'ai patché mon noyau et compilé le module ipt_recent, ça marche au poil et c'est très simple.
Est-ce que un --limit 1/minute ne suffirait pas ? Cela laisserait le soin à ssh de compter les "failure", je ne pense pas que ssh ré-ouvre une connexion à chaque entrée de mot de passe (non vérifié). Sinon le --set défini un compteur, non ? François, pour le patch je suppose que tu es en kernel 2.4 ? Dans un 2.6.14 c'est intégré ? Reste que la méthode est élégante.
François Boisson
-- David Dumortier
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
