Salut,
 
je cherche une idée qui permettrait de ne plus/moins se faire scanner à longueur de journées tout ça parce que j'ai besoin d'un service ssh qui soit accessible par internet..    
 
En ne répondant plus au ping sur l'interface réseau connecté à internet, je pense être un peu plus invisible mais quand bien même, je continue à me faire scanner une fois minimum par jour.
 
Toute idée sera la bienvenue
++

le seul moyen de ne plus être scanner est de ne pas être connecté simplement.

Qu'est ce que ca peut bien faire de que tu te fasses scanner ?
On va découvrir que tu as le port TCP 22 d'ouvert et alors ? mets en place une authentification solide (mot de passe solide ou authentification par clef). Sinon tu n'ouvres ce port que pour des block d'adresse IP bien connus (à partir desquels tu as besoin de te connecter sur ta machine)

Ce que tu peut faire, c'est:
1) changer le port de ssh vers un numero eloigne (sup à 10000)
2) refuser l'auth ssh avec mots de passe, mais en utilisant juste des certificats clients.
3) utiliser snort contre les scan
c'est un debut

http://forum.hardware.fr/hardwaref [...] 8574-1.htm

 
+1
 
Si tu es sûr de ton système (authentification solide, login en root interdit, port bloqués au strict nécessaire, etc...), un scan, c'est pas grand'chose...
 
Sinon, il doit y avoir un script qui traine sur ce forum, c'est un script perl qui analyse les logs et banni les IP à l'origine du scan en ajoutant une règle IPTables...
 
[edit] Ben grillé par le lien juste au-dessus en fait

En effet, se faire scanner c'est pas bien grave, mais je trouve ça quand même flippant, quand je regarde mes logs, ils sont infestés de illegal user & co...faut juste faire gaffe aux mots de passes des users et (évidemment) pas de root access..
 
En tout cas, le script perl qui bannit les "ptits rigolos" par iptables m'a l'air très sympa...
 
Merci à tous pour vos réponses  
++