Il y a quelques mois un logiciel avait pas mal fait parler de lui. Il permettait de bloquer les attaques. Grosso modo je crois que le principe était de laisser des ports ouverts, les tentatives de connexion à ces ports rendaient automatiquement banni celui qui s’y froté (un truc du genre). J’arrive pas à remettre la main sur le nom, ça vous parle ?
[size=50]Non je ne parle pas de fail2ban.[/size]
youtube.com/watch?v=vcWTTs8QVRc ?
or
youtube.com/watch?v=Gfj6NbjzDLE ? [size=50](oui bon… j’ai pas trouvé mieux pour la deuxième question… ni pour la première d’ailleurs…[/size] 
[size=50])[/size]
Ne serait-ce pas portsentry que tu cherche MisterFreez ?
Merci c’est exactement ce que je cherchais.
Assaillants
Je ne suis pas particulièrement exigeant en matière d’orthographe, mais là ça fait saigner les yeux d’autant plus que c’est dans le titre 
Edit : Merci 
Corrigé merci.
En fait je viens de regarder, après avoir reçu quelques milliers de tentatives de connexions SSH par jour, le changement de port de mon ssh semble avoir était efficace. 
En attendant qu’on découvre le nouveau port, je vais potasser portsentry (isalo.org/wiki.debian-fr/ind … Portsentry).
Et si tu ne veux pas installer de daemon supplémentaire, quelques règles iptables et son module recent pourraient faire l’affaire. Un IDS du pauvre en quelque sorte.
Par exemple: si l’attaquant fait plus de 5 tentatives d’accès sur le port 40 et les ports 50 à 60 dans les 60 dernières secondes, toutes les trames tcp en provenance de cette ip passeront aux oubliettes. Le choix des ports est arbitraire, c’est juste pour montrer comment définir des listes de ports.
iptables -A INPUT -p tcp -m multiport --dport 40,50:60 -m state --state NEW -m recent --name myBlacklist --set
iptables -A INPUT -p tcp -m state --state NEW -m recent --name myBlacklist --update --seconds 60 --hitcount 5 -j DROP
A peaufiner pour les scan SYN et autres udp. Mais ça pourra convenir pour les tentatives de connexion ssh classiques.
Est-ce exact que portSentry dévie les paquets entrants en créant une nouvelle route dans la table de routage? Quelqu’un qui l’utilise peut-il vérifier (route -n ou ip route)?
[quote=“ripat”]Et si tu ne veux pas installer de daemon supplémentaire, quelques règles iptables et son module recent pourraient faire l’affaire. Un IDS du pauvre en quelque sorte.
Par exemple: si l’attaquant fait plus de 5 tentatives d’accès sur le port 40 et les ports 50 à 60 dans les 60 dernières secondes, toutes les trames tcp en provenance de cette ip passeront aux oubliettes. Le choix des ports est arbitraire, c’est juste pour montrer comment définir des listes de ports.
iptables -A INPUT -p tcp -m multiport --dport 40,50:60 -m state --state NEW -m recent --name myBlacklist --set
iptables -A INPUT -p tcp -m state --state NEW -m recent --name myBlacklist --update --seconds 60 --hitcount 5 -j DROP
A peaufiner pour les scan SYN et autres udp. Mais ça pourra convenir pour les tentatives de connexion ssh classiques.[/quote]
Il faudrait que je regarde à tête reposée. Je suis pas un grand spécialiste d’iptables.
D’après la page du wiki oui, mais rien empêche de modifier se comportement
Le module recent d’iptables ne fait rien d’autre que de tenir une comptabilité des paquets répondant aux critères de port et proto et de mettre en prison les ip qui contreviennent au règles. Si on veut visualiser le fichier des punis, il se trouve dans /proc/net/xt_recent/ Maintenant, entre portSentry et iptables, je ne sais pas vraiment ce qui serait le moins gourmand. Faudrait tester mais j’aurais tendance à croire iptables plus léger. Et puis, de toutes les façons, portSentry finira quand même par écrire des règles iptables (ou utilisera le tcp wrapper et ses fichiers hosts.deny et hosts.allow).
[quote=“MisterFreez”]Corrigé merci.
En fait je viens de regarder, après avoir reçu quelques milliers de tentatives de connexions SSH par jour, le changement de port de mon ssh semble avoir était efficace.
En attendant qu’on découvre le nouveau port, je vais potasser portsentry (isalo.org/wiki.debian-fr/ind … Portsentry).[/quote]
Tu avais gardé le 22, Michel ?
Je suppose qu’il ne s’agit pas d’un serveur 
[quote=“ricardo”]Tu avais gardé le 22, Michel ?
Je suppose qu’il ne s’agit pas d’un serveur [/quote]
J’ai voulu le laisser une petite semaine comme ça pour voir combien de tentatives ça générait et la liste des login tenté.
Oui, c’est possible; Je n’utilise plus les options de hosts.deny et blocage de route, un peu chiant pour faire le nettoyage… Au bout de quelques semaines, c’est des centaines d’IP qui se retrouvent dans la table de routage… Juste un iptables DROP…