[gull] sshd

[WaVeR]

Bonjour,

Une solution au niveau d'iptables pour limiter ça:


iptables -A INPUT -p tcp --dport $SSH_PORT -j LOG --log-tcp-option
--log-ip-options --log-level warning --log-prefix "## Connexion SSH ## "

iptables -I INPUT -p tcp --dport $SSH_PORT -i eth0 -m state --state NEW
-m recent --set --name SSH

iptables -A INPUT -p tcp --dport $SSH_PORT -i eth0 -m state --state NEW
-m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG
--log-tcp-option  --log-ip-options --log-level warning --log-prefix "##
SSH Brute Force ## "

iptables -I INPUT -p tcp --dport $SSH_PORT -i eth0 -m state --state NEW
-m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
iptables -A INPUT -p tcp --dport $SSH_PORT -j ACCEPT


J'ai aussi modifié le port par défaut (22) par un autre.

Pour ne pas me déranger à chaque fois avec l'option -p quand j'essaye de
me connecter sur les autres machines. J'ai mis un script dans mon ~/.bin
du genre:

#! /bin/sh
ssh -p 6358 `basename $0` $*

Puis je crée des liens vers le script "ssh-port":
ln -s ssh-port waver at jupiter-lan

À la fin j'ai plus besoin d'écrire toute la commande "ssh -p port
waver at jupiter-lan" mais juste waver at jupiter-lan.


Bonne journée.


---
Hassan

Le mercredi 26 octobre 2005 à 10:03 +0200, johan at terrettaz.ch a écrit :
> 
> Merci pour les propositions. Je pense que je vais simplement changer
> le
> port sshd. Ca me parait la solution la plus simple et efficace.
> 
> Etant donné que je me connecte uniquement depuis certaines adresses
> IP, je
> vais autoriser l'accès depuis là.
> 
> J'ai pu constaté avec l'analyse des logs que les attaques viennent de
> l'étranger. Il me serait donc facile de restreindre l'accès aux
> différents
> fournisseurs d'accès que j'utilise. Je pense mettre en place cette
> solution
> dans un deuxième temps si j'ai besoin d'avoir un accès depuis
> l'extérieur.