J'ajoute, pour des bastions ssh dont l'objet est d'être accessible sur le Grand Ternet, sans une partie des options citées ci-dessus :
DROP (ip/nftables) systématique,
fail2ban, avec des jails 'à étages' (sshd-aggressive et multiban) :
3 tentatives échouées dans les 5 mn -> 12h de ban (jail sshd, DROP),
1 tentative de type scan v1, ack sans syn, version, nmap, etc -> 32h de ban (jail sshd-aggressive, DROP),
2 apparitions dans l'une des deux précedentes dans les 36h -> 1 mois de ban (jail multiban, DROP).
La blacklist n'est plus si longue, la machine ayant tendance à disparaitre toute seule d'Internet pour ceux qui cherchent (on ne réponds pas à un scanneur).
Pour une machine publique, exposée depuis plus de 15 ans, la blackliste oscille entre 150 et 200 IP (3 jails), en temps normal.
Les tentatives d'attaques qu'on pouvait observer il y a quelques années (avec plusieurs milliers d'IP en BL) sont invisibles maintenant avec les nouvelles jails (aggressive et multiban).
En plus, dans les "scanneurs", y'a toutes ces "entreprises de la CyberSecurity" (à qui j'ai rien demandé) qui vont vouloir proposer leurs services à la moindre faille (vécu). Le multiban a été mis en place exprès pour eux qui font du scan à bas bruit, genre un check toutes les 2h...
mes 2c...
Proverbe Alien : Sauvez la terre ? Mangez des humains !
[^] # Re: Quelques pistes
Posté par Loïs Taulelle ࿋ (site web personnel) . En réponse au message Nombre de connexions SSH malveillantes à un serveur. Évalué à 4.
J'ajoute, pour des bastions ssh dont l'objet est d'être accessible sur le Grand Ternet, sans une partie des options citées ci-dessus :
La blacklist n'est plus si longue, la machine ayant tendance à disparaitre toute seule d'Internet pour ceux qui cherchent (on ne réponds pas à un scanneur).
Pour une machine publique, exposée depuis plus de 15 ans, la blackliste oscille entre 150 et 200 IP (3 jails), en temps normal.
Les tentatives d'attaques qu'on pouvait observer il y a quelques années (avec plusieurs milliers d'IP en BL) sont invisibles maintenant avec les nouvelles jails (aggressive et multiban).
En plus, dans les "scanneurs", y'a toutes ces "entreprises de la CyberSecurity" (à qui j'ai rien demandé) qui vont vouloir proposer leurs services à la moindre faille (vécu). Le multiban a été mis en place exprès pour eux qui font du scan à bas bruit, genre un check toutes les 2h...
mes 2c...
Proverbe Alien : Sauvez la terre ? Mangez des humains !