bonjour,
 
j'ai un petit serveur ftp chez moi (fedora core, vsftp), et j'arrive aujourd'hui, je l'entends grater (le DD).
Je me logs, beaucoup de message sur ma machine rempli de "logs_drop" (je me suis fais un parefeu iptables)
Je consulte mes logs de securité, et la angoisse, je vois plein de tentatives de connexions ssh aves des noms d'utilisateurs bidons, toutes refusées bien sur, mais bon. Je suis remonté en arrière, et je vois qu'une fois par jour, ya des tentatives d'intrusions chez moi , meme méthode (ssh...).
 
Il y aurait moyens de "virer" toute tentative de connexion d'une IP ayant raté une authentification plusieurs fois ?
 
Jvous avou ne pas être très rassuré

Plusieurs solutions existent :
 tu peux jouer au niveau de la configuration de sshd
 tu peux utiliser le script de tomate banip (il y a un topic quelques). Sinon il existe d'autre technique similaire.
 
 Pour la quantité de log_drop, tu n"est pas obligé de logguer TOUS les paquets qui sont droppés. C'est un truc a remplir ton disque et a faire crashé ta machine si ton logrotate est mal réglé.
 
 Log seulement les trucs importants et utilise le match iptables limit....
 

Change le port du serveur ssh...
 
... ou :
http://forum.hardware.fr/hardwaref [...] 8574-1.htm
 
edit: grilled...  

 
merci pour le lien du topic a tomate    
 
Sinon, je vais essayer de suivre ton consil sur le log_drop. Selon toi, Qu'es-ce qui est importnat et qu'es-ce qui ne l'est pas ?
limite dans iptables, je connais pas, mais je vais me renseigner.

J'y avais meme pas pensé    
Bon, je vais essayer de faire marcher le produit de tomate, je vais changer de port sshd, ce devrait être un bon début.
 
Merci  à vous deux
 

Sinon, une dernière question : Ca se règle ou le lograte ?

dans le /etc/logrotate.conf et .d pardis

merci    
 
Pour une entreprise qui aurait ce genre de problème (connexions ssh intempestives, scan de port, etc...), quels sont ses moyens de "réponse" légaux ?

Franchement tu t'en fous sauf si le traffic généré sature ta bande passante.
 
Si le brute force SSH provient toujours de la meme adresse tu envois un mail a l'abuse du FAI de cette adresse, pour les scans de ports c'est la vie
 
Des que tu branches un équipement sur un réseau publique tu as ce genre de probleme. Firewall bien configuré, mot de passe non attaquable via dico, services a jour, surveillance des logs et c'est tout.

ok.
 
Le web est une jungle

Jdirais même que la jungle c' est le web ^^

moi j'ai changé le port sshd et mis un portsentry qui banni toute ip
sur des ports non autorisés + un script hourly qui vide l'iptable
(sinon ça ferais un paquet d'ip interdite a vie )
et comme la plupart des internautes ont des ip variables, ça m'ennuyerais
de bannir autant de monde définitivement.
 
j'observe regulierement des attaques/banissement de vers destiné à IIS, et d'autre sur
22, 140... (bref, des détails )