• [^] # Re: whitelist/blacklist

    Posté par . En réponse à la dépêche reaction, remplaçant de fail2ban. Évalué à 4.

    répartition par adresse IP ou par groupe d'adresse IP concernant les tentatives d'authentification sur mon serveur SSH, sur 3 semaines :

    zcat /var/log/auth.log*.gz | grep ssh | \
     egrep 'Invalid user|Failed password' | \
     sed -e 's#^.*from ##' -e 's# .*$##' | \
     sort -u | sed -e 's#\.[0-9]*$##' | \
     sort | uniq -c | sort -rn | | head -15
    # head -15 /tmp/list 
     14 64.62.197
     8 60.10.72
     8 103.110.43
     7 15.204.86
     6 85.209.11
     6 222.186.16
     5 210.22.98
     5 197.5.145
     5 103.140.194
     4 65.49.1
     4 185.227.137
     4 185.162.235
     4 139.170.221
     3 82.207.8
     3 43.153.76
    

    et maintenant si je prends l'ensemble des IP

    # cat /tmp/list | sed -e 's#^ *##' -e 's# .*$##' | sort -n | uniq -c
     2147 1
     108 2
     10 3
     4 4
     3 5
     2 6
     1 7
     2 8
     1 14
    

    autrement dit :
    - je n'ai qu'une seule occurence ou l'on rencontre 14 IP dans le réseau 64.62.197.0/24
    - 2 fois, j'ai 8 IP en /24 (60.10.72, 103.110.43),
    - et la majorité (2147) concernant une seule instance en /24

    aussi, il ne semble pas très intéressant, voir risqué de vouloir blacklister tout un /24.