Salut à tous,
Depuis une dizaine de jours, j'observe une augmentation massive de scans
sur ma machine.
sshd:
Authentication Failures:
unknown (115.159.235.17): 100 Time(s)
unknown (153.37.192.4): 99 Time(s)
unknown (183.103.146.208): 99 Time(s)
unknown (190.0.159.69): 99 Time(s)
unknown (106.13.103.204): 98 Time(s)
unknown (109.86.200.141): 98 Time(s)
unknown (94.23.62.187): 98 Time(s)
unknown (45.127.106.51): 96 Time(s)
unknown (103.202.132.175): 95 Time(s)
unknown (217.182.95.16): 95 Time(s)
unknown (47.74.150.153): 95 Time(s)
unknown (220.168.86.37): 87 Time(s)
unknown (122.155.223.31): 73 Time(s)
unknown (190.111.239.48): 70 Time(s)
unknown (188.166.31.205): 56 Time(s)
unknown (47.254.158.221): 48 Time(s)
unknown (51.15.117.94): 47 Time(s)
unknown (142.93.237.233): 34 Time(s)
unknown (223.83.155.77): 16 Time(s)
unknown (41.77.145.34): 13 Time(s)
unknown (118.24.99.163): 12 Time(s)
unknown (46.190.57.82): 9 Time(s)
unknown (89.79.197.61): 9 Time(s)
unknown (115.159.30.108): 8 Time(s)
backup (188.166.31.205): 2 Time(s)
root (104.236.102.16): 2 Time(s)
root (223.17.237.138): 2 Time(s)
unknown (128.199.221.18): 2 Time(s)
backup (103.202.132.175): 1 Time(s)
backup (47.254.158.221): 1 Time(s)
backup (47.74.150.153): 1 Time(s)
daemon (45.127.106.51): 1 Time(s)
backup (188.166.31.205): 2 Time(s)
root (104.236.102.16): 2 Time(s)
root (223.17.237.138): 2 Time(s)
unknown (128.199.221.18): 2 Time(s)
backup (103.202.132.175): 1 Time(s)
backup (47.254.158.221): 1 Time(s)
backup (47.74.150.153): 1 Time(s)
daemon (45.127.106.51): 1 Time(s)
games (103.202.132.175): 1 Time(s)
games (188.166.31.205): 1 Time(s)
games (94.23.62.187): 1 Time(s)
gnats (159.65.144.233): 1 Time(s)
gnats (190.111.239.48): 1 Time(s)
gnats (45.127.106.51): 1 Time(s)
hplip (103.202.132.175): 1 Time(s)
irc (106.13.103.204): 1 Time(s)
irc (217.182.95.16): 1 Time(s)
irc (41.77.145.34): 1 Time(s)
irc (47.74.150.153): 1 Time(s)
list (47.254.158.221): 1 Time(s)
lp (217.182.95.16): 1 Time(s)
mail (103.202.132.175): 1 Time(s)
man (115.159.30.108): 1 Time(s)
man (153.37.192.4): 1 Time(s)
man (47.74.150.153): 1 Time(s)
mysql (109.86.200.141): 1 Time(s)
mysql (153.37.192.4): 1 Time(s)
mysql (190.111.239.48): 1 Time(s)
mysql (202.88.241.107): 1 Time(s)
mysql (45.127.106.51): 1 Time(s)
mysql (51.15.117.94): 1 Time(s)
mysql (81.133.216.92): 1 Time(s)
mysql (94.23.62.187): 1 Time(s)
news (190.0.159.69): 1 Time(s)
news (47.74.150.153): 1 Time(s)
nobody (118.25.221.166): 1 Time(s)
nobody (217.182.95.16): 1 Time(s)
plex (217.182.95.16): 1 Time(s)
proxy (103.202.132.175): 1 Time(s)
proxy (47.74.150.153): 1 Time(s)
root (104.248.211.180): 1 Time(s)
root (105.235.116.254): 1 Time(s)
Invalid Users:
Unknown Account: 1610 Time(s)
Je me demandais si vous observiez la même chose.
Merci
Steve
Salut à tous,
Depuis une dizaine de jours, j'observe une augmentation massive de scans
sur ma machine.
sshd:
Authentication Failures:
unknown (115.159.235.17): 100 Time(s)
unknown (153.37.192.4): 99 Time(s)
unknown (183.103.146.208): 99 Time(s)
unknown (190.0.159.69): 99 Time(s)
unknown (106.13.103.204): 98 Time(s)
unknown (109.86.200.141): 98 Time(s)
unknown (94.23.62.187): 98 Time(s)
unknown (45.127.106.51): 96 Time(s)
unknown (103.202.132.175): 95 Time(s)
unknown (217.182.95.16): 95 Time(s)
unknown (47.74.150.153): 95 Time(s)
unknown (220.168.86.37): 87 Time(s)
unknown (122.155.223.31): 73 Time(s)
unknown (190.111.239.48): 70 Time(s)
unknown (188.166.31.205): 56 Time(s)
unknown (47.254.158.221): 48 Time(s)
unknown (51.15.117.94): 47 Time(s)
unknown (142.93.237.233): 34 Time(s)
unknown (223.83.155.77): 16 Time(s)
unknown (41.77.145.34): 13 Time(s)
unknown (118.24.99.163): 12 Time(s)
unknown (46.190.57.82): 9 Time(s)
unknown (89.79.197.61): 9 Time(s)
unknown (115.159.30.108): 8 Time(s)
backup (188.166.31.205): 2 Time(s)
root (104.236.102.16): 2 Time(s)
root (223.17.237.138): 2 Time(s)
unknown (128.199.221.18): 2 Time(s)
backup (103.202.132.175): 1 Time(s)
backup (47.254.158.221): 1 Time(s)
backup (47.74.150.153): 1 Time(s)
daemon (45.127.106.51): 1 Time(s)
backup (188.166.31.205): 2 Time(s)
root (104.236.102.16): 2 Time(s)
root (223.17.237.138): 2 Time(s)
unknown (128.199.221.18): 2 Time(s)
backup (103.202.132.175): 1 Time(s)
backup (47.254.158.221): 1 Time(s)
backup (47.74.150.153): 1 Time(s)
daemon (45.127.106.51): 1 Time(s)
games (103.202.132.175): 1 Time(s)
games (188.166.31.205): 1 Time(s)
games (94.23.62.187): 1 Time(s)
gnats (159.65.144.233): 1 Time(s)
gnats (190.111.239.48): 1 Time(s)
gnats (45.127.106.51): 1 Time(s)
hplip (103.202.132.175): 1 Time(s)
irc (106.13.103.204): 1 Time(s)
irc (217.182.95.16): 1 Time(s)
irc (41.77.145.34): 1 Time(s)
irc (47.74.150.153): 1 Time(s)
list (47.254.158.221): 1 Time(s)
lp (217.182.95.16): 1 Time(s)
mail (103.202.132.175): 1 Time(s)
man (115.159.30.108): 1 Time(s)
man (153.37.192.4): 1 Time(s)
man (47.74.150.153): 1 Time(s)
mysql (109.86.200.141): 1 Time(s)
mysql (153.37.192.4): 1 Time(s)
mysql (190.111.239.48): 1 Time(s)
mysql (202.88.241.107): 1 Time(s)
mysql (45.127.106.51): 1 Time(s)
mysql (51.15.117.94): 1 Time(s)
mysql (81.133.216.92): 1 Time(s)
mysql (94.23.62.187): 1 Time(s)
news (190.0.159.69): 1 Time(s)
news (47.74.150.153): 1 Time(s)
nobody (118.25.221.166): 1 Time(s)
nobody (217.182.95.16): 1 Time(s)
plex (217.182.95.16): 1 Time(s)
proxy (103.202.132.175): 1 Time(s)
proxy (47.74.150.153): 1 Time(s)
root (104.248.211.180): 1 Time(s)
root (105.235.116.254): 1 Time(s)
Invalid Users:
Unknown Account: 1610 Time(s)
Je me demandais si vous observiez la même chose.
Merci
Steve
Salut à tous,
Depuis une dizaine de jours, j'observe une augmentation massive de scans
sur ma machine.
sshd:
Authentication Failures:
unknown (115.159.235.17): 100 Time(s)
unknown (153.37.192.4): 99 Time(s)
unknown (183.103.146.208): 99 Time(s)
unknown (190.0.159.69): 99 Time(s)
unknown (106.13.103.204): 98 Time(s)
unknown (109.86.200.141): 98 Time(s)
unknown (94.23.62.187): 98 Time(s)
unknown (45.127.106.51): 96 Time(s)
unknown (103.202.132.175): 95 Time(s)
unknown (217.182.95.16): 95 Time(s)
unknown (47.74.150.153): 95 Time(s)
unknown (220.168.86.37): 87 Time(s)
unknown (122.155.223.31): 73 Time(s)
unknown (190.111.239.48): 70 Time(s)
unknown (188.166.31.205): 56 Time(s)
unknown (47.254.158.221): 48 Time(s)
unknown (51.15.117.94): 47 Time(s)
unknown (142.93.237.233): 34 Time(s)
unknown (223.83.155.77): 16 Time(s)
unknown (41.77.145.34): 13 Time(s)
unknown (118.24.99.163): 12 Time(s)
unknown (46.190.57.82): 9 Time(s)
unknown (89.79.197.61): 9 Time(s)
unknown (115.159.30.108): 8 Time(s)
backup (188.166.31.205): 2 Time(s)
root (104.236.102.16): 2 Time(s)
root (223.17.237.138): 2 Time(s)
unknown (128.199.221.18): 2 Time(s)
backup (103.202.132.175): 1 Time(s)
backup (47.254.158.221): 1 Time(s)
backup (47.74.150.153): 1 Time(s)
daemon (45.127.106.51): 1 Time(s)
backup (188.166.31.205): 2 Time(s)
root (104.236.102.16): 2 Time(s)
root (223.17.237.138): 2 Time(s)
unknown (128.199.221.18): 2 Time(s)
backup (103.202.132.175): 1 Time(s)
backup (47.254.158.221): 1 Time(s)
backup (47.74.150.153): 1 Time(s)
daemon (45.127.106.51): 1 Time(s)
games (103.202.132.175): 1 Time(s)
games (188.166.31.205): 1 Time(s)
games (94.23.62.187): 1 Time(s)
gnats (159.65.144.233): 1 Time(s)
gnats (190.111.239.48): 1 Time(s)
gnats (45.127.106.51): 1 Time(s)
hplip (103.202.132.175): 1 Time(s)
irc (106.13.103.204): 1 Time(s)
irc (217.182.95.16): 1 Time(s)
irc (41.77.145.34): 1 Time(s)
irc (47.74.150.153): 1 Time(s)
list (47.254.158.221): 1 Time(s)
lp (217.182.95.16): 1 Time(s)
mail (103.202.132.175): 1 Time(s)
man (115.159.30.108): 1 Time(s)
man (153.37.192.4): 1 Time(s)
man (47.74.150.153): 1 Time(s)
mysql (109.86.200.141): 1 Time(s)
mysql (153.37.192.4): 1 Time(s)
mysql (190.111.239.48): 1 Time(s)
mysql (202.88.241.107): 1 Time(s)
mysql (45.127.106.51): 1 Time(s)
mysql (51.15.117.94): 1 Time(s)
mysql (81.133.216.92): 1 Time(s)
mysql (94.23.62.187): 1 Time(s)
news (190.0.159.69): 1 Time(s)
news (47.74.150.153): 1 Time(s)
nobody (118.25.221.166): 1 Time(s)
nobody (217.182.95.16): 1 Time(s)
plex (217.182.95.16): 1 Time(s)
proxy (103.202.132.175): 1 Time(s)
proxy (47.74.150.153): 1 Time(s)
root (104.248.211.180): 1 Time(s)
root (105.235.116.254): 1 Time(s)
Invalid Users:
Unknown Account: 1610 Time(s)
Je me demandais si vous observiez la même chose.
Merci
Steve
Bonjour,
c'est quasiment tous le temps, si tu veux limiter cela tu peux modifier le
port de ta connexion ssh, cela évite une bonne partie de ces bots,
ensuite tu peux mettre fail2ban pour les irréductibles que trouverais le
bon ports.
Bonjour,
c'est quasiment tous le temps, si tu veux limiter cela tu peux modifier le
port de ta connexion ssh, cela évite une bonne partie de ces bots,
ensuite tu peux mettre fail2ban pour les irréductibles que trouverais le
bon ports.
Bonjour,
c'est quasiment tous le temps, si tu veux limiter cela tu peux modifier le
port de ta connexion ssh, cela évite une bonne partie de ces bots,
ensuite tu peux mettre fail2ban pour les irréductibles que trouverais le
bon ports.
Le mercredi 05 juin 2019, Yahoo a ??crit??:?? Bonjour,
?? c'est quasiment tous le temps, si tu veux limiter cela tu peux
modifier le
?? port de ta connexion ssh, cela ??vite une bonne partie de ces bots,
D??j?? fait depuis longtemps (22->2222). Peut-??tre faudrait-il que je
mette un port moins ??vident????? ensuite tu peux mettre fail2ban pour les irr??ductibles que
trouverais le
?? bon ports.
# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|?? |- Currently failed:?????? 2
|?? |- Total failed:?????? 11952
|?? `- File list:?????? /var/log/auth.log
`- Actions
?? |- Currently banned:?????? 3
?? |- Total banned:?????? 54
?? `- Banned IP list:?????? 73.15.91.251 104.248.187.179 41.223.142.211
Mais en fait ma question ??tait plus sur une ??ventuelle augmentation de
la fr??quence de scan que sur les m??thodes de mitigation que je connais
d??j?? et qui sont en place.
Le mercredi 05 juin 2019, Yahoo a ??crit??:
?? Bonjour,
?? c'est quasiment tous le temps, si tu veux limiter cela tu peux
modifier le
?? port de ta connexion ssh, cela ??vite une bonne partie de ces bots,
D??j?? fait depuis longtemps (22->2222). Peut-??tre faudrait-il que je
mette un port moins ??vident???
?? ensuite tu peux mettre fail2ban pour les irr??ductibles que
trouverais le
?? bon ports.
# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|?? |- Currently failed:?????? 2
|?? |- Total failed:?????? 11952
|?? `- File list:?????? /var/log/auth.log
`- Actions
?? |- Currently banned:?????? 3
?? |- Total banned:?????? 54
?? `- Banned IP list:?????? 73.15.91.251 104.248.187.179 41.223.142.211
Mais en fait ma question ??tait plus sur une ??ventuelle augmentation de
la fr??quence de scan que sur les m??thodes de mitigation que je connais
d??j?? et qui sont en place.
Le mercredi 05 juin 2019, Yahoo a ??crit??:?? Bonjour,
?? c'est quasiment tous le temps, si tu veux limiter cela tu peux
modifier le
?? port de ta connexion ssh, cela ??vite une bonne partie de ces bots,
D??j?? fait depuis longtemps (22->2222). Peut-??tre faudrait-il que je
mette un port moins ??vident????? ensuite tu peux mettre fail2ban pour les irr??ductibles que
trouverais le
?? bon ports.
# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|?? |- Currently failed:?????? 2
|?? |- Total failed:?????? 11952
|?? `- File list:?????? /var/log/auth.log
`- Actions
?? |- Currently banned:?????? 3
?? |- Total banned:?????? 54
?? `- Banned IP list:?????? 73.15.91.251 104.248.187.179 41.223.142.211
Mais en fait ma question ??tait plus sur une ??ventuelle augmentation de
la fr??quence de scan que sur les m??thodes de mitigation que je connais
d??j?? et qui sont en place.
Le 5 juin 2019 à 14:23, Yahoo a écrit :
D??sol??, je n'avais pas compris ta demande.
Donc sur la fr??quence, de mon c??t?? j'ai tr??s peu d'attaque force brut sur le service ssh, mais effectivement j'utilise un port un peu plus exotique que le tiens
la vue pour un serveur up depuis 1 ans:
Status for the jail: sshd
|- Filter
|?? |- Currently failed: 0
|?? |- Total failed:???????? 23
|?? `- File list:?????????????? /var/log/auth.log
`- Actions
???? |- Currently banned: 0
???? |- Total banned:???????? 1
???? `- Banned IP list:
Il est donc possible que 2222 soit trop simple
Le 05/06/2019 ?? 13:33, steve a ??crit??:Le mercredi 05 juin 2019, Yahoo a ??crit??:?? Bonjour,
?? c'est quasiment tous le temps, si tu veux limiter cela tu peux modifier le
?? port de ta connexion ssh, cela ??vite une bonne partie de ces bots,
D??j?? fait depuis longtemps (22->2222). Peut-??tre faudrait-il que je
mette un port moins ??vident????? ensuite tu peux mettre fail2ban pour les irr??ductibles que trouverais le
?? bon ports.
# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|?? |- Currently failed:?????? 2
|?? |- Total failed:?????? 11952
|?? `- File list:?????? /var/log/auth.log
`- Actions
?? |- Currently banned:?????? 3
?? |- Total banned:?????? 54
?? `- Banned IP list:?????? 73.15.91.251 104.248.187.179 41.223.142.211
Mais en fait ma question ??tait plus sur une ??ventuelle augmentation de
la fr??quence de scan que sur les m??thodes de mitigation que je connais
d??j?? et qui sont en place.
Le 5 juin 2019 à 14:23, Yahoo <lo.soulas@yahoo.fr> a écrit :
D??sol??, je n'avais pas compris ta demande.
Donc sur la fr??quence, de mon c??t?? j'ai tr??s peu d'attaque force brut sur le service ssh, mais effectivement j'utilise un port un peu plus exotique que le tiens
la vue pour un serveur up depuis 1 ans:
Status for the jail: sshd
|- Filter
|?? |- Currently failed: 0
|?? |- Total failed:???????? 23
|?? `- File list:?????????????? /var/log/auth.log
`- Actions
???? |- Currently banned: 0
???? |- Total banned:???????? 1
???? `- Banned IP list:
Il est donc possible que 2222 soit trop simple
Le 05/06/2019 ?? 13:33, steve a ??crit??:
Le mercredi 05 juin 2019, Yahoo a ??crit??:
?? Bonjour,
?? c'est quasiment tous le temps, si tu veux limiter cela tu peux modifier le
?? port de ta connexion ssh, cela ??vite une bonne partie de ces bots,
D??j?? fait depuis longtemps (22->2222). Peut-??tre faudrait-il que je
mette un port moins ??vident???
?? ensuite tu peux mettre fail2ban pour les irr??ductibles que trouverais le
?? bon ports.
# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|?? |- Currently failed:?????? 2
|?? |- Total failed:?????? 11952
|?? `- File list:?????? /var/log/auth.log
`- Actions
?? |- Currently banned:?????? 3
?? |- Total banned:?????? 54
?? `- Banned IP list:?????? 73.15.91.251 104.248.187.179 41.223.142.211
Mais en fait ma question ??tait plus sur une ??ventuelle augmentation de
la fr??quence de scan que sur les m??thodes de mitigation que je connais
d??j?? et qui sont en place.
Le 5 juin 2019 à 14:23, Yahoo a écrit :
D??sol??, je n'avais pas compris ta demande.
Donc sur la fr??quence, de mon c??t?? j'ai tr??s peu d'attaque force brut sur le service ssh, mais effectivement j'utilise un port un peu plus exotique que le tiens
la vue pour un serveur up depuis 1 ans:
Status for the jail: sshd
|- Filter
|?? |- Currently failed: 0
|?? |- Total failed:???????? 23
|?? `- File list:?????????????? /var/log/auth.log
`- Actions
???? |- Currently banned: 0
???? |- Total banned:???????? 1
???? `- Banned IP list:
Il est donc possible que 2222 soit trop simple
Le 05/06/2019 ?? 13:33, steve a ??crit??:Le mercredi 05 juin 2019, Yahoo a ??crit??:?? Bonjour,
?? c'est quasiment tous le temps, si tu veux limiter cela tu peux modifier le
?? port de ta connexion ssh, cela ??vite une bonne partie de ces bots,
D??j?? fait depuis longtemps (22->2222). Peut-??tre faudrait-il que je
mette un port moins ??vident????? ensuite tu peux mettre fail2ban pour les irr??ductibles que trouverais le
?? bon ports.
# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|?? |- Currently failed:?????? 2
|?? |- Total failed:?????? 11952
|?? `- File list:?????? /var/log/auth.log
`- Actions
?? |- Currently banned:?????? 3
?? |- Total banned:?????? 54
?? `- Banned IP list:?????? 73.15.91.251 104.248.187.179 41.223.142.211
Mais en fait ma question ??tait plus sur une ??ventuelle augmentation de
la fr??quence de scan que sur les m??thodes de mitigation que je connais
d??j?? et qui sont en place.
Bonjour,
Sans présumer de qui est le plus « méchant » (Chinois , Russes, USA, Fr…)
et pratique le scan massif, je ne saurait trop conseiller un filtrage
avec la limitation des ports ouverts par un pare-feu et, sur les serveurs
ouverts, l’installation de « Fail2Ban » en validant les règles « récidive
».
Bonjour,
Sans présumer de qui est le plus « méchant » (Chinois , Russes, USA, Fr…)
et pratique le scan massif, je ne saurait trop conseiller un filtrage
avec la limitation des ports ouverts par un pare-feu et, sur les serveurs
ouverts, l’installation de « Fail2Ban » en validant les règles « récidive
».
Bonjour,
Sans présumer de qui est le plus « méchant » (Chinois , Russes, USA, Fr…)
et pratique le scan massif, je ne saurait trop conseiller un filtrage
avec la limitation des ports ouverts par un pare-feu et, sur les serveurs
ouverts, l’installation de « Fail2Ban » en validant les règles « récidive
».
Le 6 juin 2019 à 09:09, Daniel Caillibaud a écrit :
Le 06/06/19 à 08:30, Pierre Malard a écrit :Bonjour,
Sans présumer de qui est le plus « méchant » (Chinois, Russes, USA, Fr…)
et pratique le scan massif, je ne saurait trop conseiller un filtrage
avec la limitation des ports ouverts par un pare-feu et, sur les serveurs
ouverts, l’installation de « Fail2Ban » en validant les règles « récidive
».
Sur un serveur en prod, l'intérêt d'un pare-feu est quand même très limité
(éventuellement pour gérer du throttle), à priori si un port est ouvert sur
une ip publique c'est qu'on veut qu'il soit accessible (sinon on l'aurait
pas ouvert là).
Pour le sshd, le plus efficace reste encore de le configurer pour interdire
la connexion par mot de passe, ensuite fail2ban n'est plus nécessai re
(sinon pour réduire le bruit dans auth.log).
Il faut mettre dans /etc/ssh/sshd_config la ligne :
PasswordAuthentication no
Le 6 juin 2019 à 09:09, Daniel Caillibaud <ml@lairdutemps.org> a écrit :
Le 06/06/19 à 08:30, Pierre Malard <plm@teledetection.fr> a écrit :
Bonjour,
Sans présumer de qui est le plus « méchant » (Chinois, Russes, USA, Fr…)
et pratique le scan massif, je ne saurait trop conseiller un filtrage
avec la limitation des ports ouverts par un pare-feu et, sur les serveurs
ouverts, l’installation de « Fail2Ban » en validant les règles « récidive
».
Sur un serveur en prod, l'intérêt d'un pare-feu est quand même très limité
(éventuellement pour gérer du throttle), à priori si un port est ouvert sur
une ip publique c'est qu'on veut qu'il soit accessible (sinon on l'aurait
pas ouvert là).
Pour le sshd, le plus efficace reste encore de le configurer pour interdire
la connexion par mot de passe, ensuite fail2ban n'est plus nécessai re
(sinon pour réduire le bruit dans auth.log).
Il faut mettre dans /etc/ssh/sshd_config la ligne :
PasswordAuthentication no
Le 6 juin 2019 à 09:09, Daniel Caillibaud a écrit :
Le 06/06/19 à 08:30, Pierre Malard a écrit :Bonjour,
Sans présumer de qui est le plus « méchant » (Chinois, Russes, USA, Fr…)
et pratique le scan massif, je ne saurait trop conseiller un filtrage
avec la limitation des ports ouverts par un pare-feu et, sur les serveurs
ouverts, l’installation de « Fail2Ban » en validant les règles « récidive
».
Sur un serveur en prod, l'intérêt d'un pare-feu est quand même très limité
(éventuellement pour gérer du throttle), à priori si un port est ouvert sur
une ip publique c'est qu'on veut qu'il soit accessible (sinon on l'aurait
pas ouvert là).
Pour le sshd, le plus efficace reste encore de le configurer pour interdire
la connexion par mot de passe, ensuite fail2ban n'est plus nécessai re
(sinon pour réduire le bruit dans auth.log).
Il faut mettre dans /etc/ssh/sshd_config la ligne :
PasswordAuthentication no
Bonjour la liste,
Je n'ai pas lu en détails le fil, mais pour protéger les demand es
intempestives de connexions ssh (et d'autres si besoin), il existe la
solution de port knocking.
Ce qui n’empêche pas de mettre en place une authentification par
certificat et fail2ban pour les services moins sensibles.
Bonjour la liste,
Je n'ai pas lu en détails le fil, mais pour protéger les demand es
intempestives de connexions ssh (et d'autres si besoin), il existe la
solution de port knocking.
Ce qui n’empêche pas de mettre en place une authentification par
certificat et fail2ban pour les services moins sensibles.
Bonjour la liste,
Je n'ai pas lu en détails le fil, mais pour protéger les demand es
intempestives de connexions ssh (et d'autres si besoin), il existe la
solution de port knocking.
Ce qui n’empêche pas de mettre en place une authentification par
certificat et fail2ban pour les services moins sensibles.
Le 06/06/19 à 10:31, Arnaud Gambonnet a
écrit :Bonjour la liste,
Je n'ai pas lu en détails le fil, mais pour protéger les dema ndes
intempestives de connexions ssh (et d'autres si besoin), il existe la
solution de port knocking.
Pourquoi faire (compliqué) ?Ce qui n’empêche pas de mettre en place une authentificati on par
certificat et fail2ban pour les services moins sensibles.
Au contraire, auth par certif pour tous les serveurs, sensibles ou pas, e t
plus besoin de port knocking ni port exotique ni fail2ban, on peut rester
sur du standard avec ssh sur le port 22 qui fonctionne comme attendu.
--
Daniel
On devient jeune à soixante ans.
Malheureusement c'est trop tard.
Pablo Picasso
Le 06/06/19 à 10:31, Arnaud Gambonnet <arnaud.gambonnet@gmail.com> a
écrit :
> Bonjour la liste,
>
> Je n'ai pas lu en détails le fil, mais pour protéger les dema ndes
> intempestives de connexions ssh (et d'autres si besoin), il existe la
> solution de port knocking.
Pourquoi faire (compliqué) ?
> Ce qui n’empêche pas de mettre en place une authentificati on par
> certificat et fail2ban pour les services moins sensibles.
Au contraire, auth par certif pour tous les serveurs, sensibles ou pas, e t
plus besoin de port knocking ni port exotique ni fail2ban, on peut rester
sur du standard avec ssh sur le port 22 qui fonctionne comme attendu.
--
Daniel
On devient jeune à soixante ans.
Malheureusement c'est trop tard.
Pablo Picasso
Le 06/06/19 à 10:31, Arnaud Gambonnet a
écrit :Bonjour la liste,
Je n'ai pas lu en détails le fil, mais pour protéger les dema ndes
intempestives de connexions ssh (et d'autres si besoin), il existe la
solution de port knocking.
Pourquoi faire (compliqué) ?Ce qui n’empêche pas de mettre en place une authentificati on par
certificat et fail2ban pour les services moins sensibles.
Au contraire, auth par certif pour tous les serveurs, sensibles ou pas, e t
plus besoin de port knocking ni port exotique ni fail2ban, on peut rester
sur du standard avec ssh sur le port 22 qui fonctionne comme attendu.
--
Daniel
On devient jeune à soixante ans.
Malheureusement c'est trop tard.
Pablo Picasso
Lol tu réduis la charge serveur au lieu de laisser ssh écouter et
répondre à tout le net... (valable pour tous les types
d'authentification ssh)
Merci de me faire savoir si je me trompe
Lol tu réduis la charge serveur au lieu de laisser ssh écouter et
répondre à tout le net... (valable pour tous les types
d'authentification ssh)
Merci de me faire savoir si je me trompe
Lol tu réduis la charge serveur au lieu de laisser ssh écouter et
répondre à tout le net... (valable pour tous les types
d'authentification ssh)
Merci de me faire savoir si je me trompe