[gull] sshd

Daniel Cordey dc at mjt.ch
Tue Oct 25 13:54:49 CEST 2005


On Tuesday 25 October 2005 13:38, johan at terrettaz.ch wrote:

> Sur un serveur FreeBSD j'ai dans mes logs sshd des tentatives d'ouverture
> de session avec l'utilisateur root et autre. Est-ce qu'il y a un moyen de
> limiter le nombre de tentatives pour une adresse IP ?
>
> J'ai fait quelques recherches mais n'ai rien trouvé à part désactiver le
> login root.

Je suppose que iptable est aussi disponible sous FreeBSD, sinon netfilter... 
non ? C'est la meilleur solutions. Ces derniers mois, j'ai vu bon nombre de 
solutions proposees pour eviter ce genre de requetes. J'ai ete decu car la 
plupart de ces solutions etaient assez lourdes et faisaient appel a des 
applications complementaires a ce probleme. En fait, il s'agissait plus 
d'integration du traitemebt de ce probleme dans un systeme de detection 
d'intrusion plus global (snort etc.) que du traitement simple de celui-ci. 

En bref, il suffit d'avoir un programme quelconque (bash, Perl, Python, etc), 
lisant en continu le fichier de log de sshd  et agissant lors de tentatives 
repetees en bloquant l'adresse IP a l'aide de commandes iptables. 

Je serais plus subtile... plutot que de bloquer tout traffic emanant d'une 
adresse IP, il serait peut-etre plus vicieux de se contenter de le ralentir 
fortement. En effet, iptable permet de limiter la bande passante pour une 
addresse IP/port/regle. Ainsi, l'auteur de la tentative ne detectera pas un 
refus, mais perdra son temps a croire qu'il peut continuer a essayer. Ceci 
l'empechera de determiner qu'il a ete detecte et d'essayer d'autre tactiques 
d'acces.

dc




More information about the gull mailing list