[gull] sshd

Pep Serrano mylists at montblanc.homeip.net
Wed Oct 26 12:02:58 CEST 2005 

Salut

Voici une solution sophistiquée et élégante mais simple à implémenter. On
l’appelle « port knocking » et consiste à bloquer le port 22 depuis
l'extérieur et l’ouvrir sur demande. Pour ça il faut un simple script
capable de ouvrir/fermer le port 22 avec iptables après avoir reçu un «
port knocking ». Le script se déclenche avec l’arrivé d’une succession de
paquets IP connue par l’utilisateur. La réception de ces paquets déclenche
une rule iptables qui déclanche le script. Alors le script ouvre le port
22 et l’utilisateur peut se connecter en remote.

Voir sur google « port knocking iptables» et vous trouverez quelques scripts


Une grande salutation cordiale a tous. Je ne participe jamais dans le
forum mais je vous lis touts les jours.


> johan at terrettaz.ch wrote:
>
>>Bonjour,
>>
>>Sur un serveur FreeBSD j'ai dans mes logs sshd des tentatives d'ouverture
>>de session avec l'utilisateur root et autre. Est-ce qu'il y a un moyen de
>>limiter le nombre de tentatives pour une adresse IP ?
>>
>>J'ai fait quelques recherches mais n'ai rien trouvé à part désactiver le
>>login root.
>>
>>
> Franchement, la solution la plus simple est de changer le port par
> défaut du serveur SSH, comme le suggère Daniel.
> Depuis que j'ai fait ça je n'ai plus AUCUNE tentative. Mais il est vrai
> qu'il faut pouvoir. (Quand on veut, on peut :-) ).
> En plus ça peut devenir "transparent" en configurant les fichiers de
> config par défaut de ssh (pas sshd). ie. pas besoin de taper # ssh -p
> <port> -l <login> <machine>
>
> Pour la petite histoire, j'avais fait un script qui lisait les logs de
> différents services pour faire du blocage de ciconstance (le
> ralentissement aurait été vraiment plus drôle), mais j'ai eu un problème
> avec une rotation de log (que je n'ai pas encore eu le temps de
> résoudre) qui le faisait planter. J'ai alors cherché une autre solution.
>
> a+
>
> Magnus
>
>>D'avance merci.
>>_________________
>>Johan Tornay
>>johan at terrettaz.ch
>>
>>
>>_______________________________________________
>>gull mailing list
>>gull at lists.alphanet.ch
>>http://lists.alphanet.ch/mailman/listinfo/gull
>>
>>
>>
>
> _______________________________________________
> gull mailing list
> gull at lists.alphanet.ch
> http://lists.alphanet.ch/mailman/listinfo/gull
>

More information about the gull mailing list