• [^] # Re: Fail2ban ne remplace pas une bonne sécurité

    Posté par . En réponse au journal Fail2ban, ajustement des valeurs par defaut. Évalué à 6.

    Dans ma tête il est plutôt là pour bloquer les attaques en brute force, dont en particulier celles des bots.

    Et je me pose une question, les gens ici préconisent de désactiver la connexion à ssh par mot de passe.
    À priori (je ne suis pas allé voir le protocole, donc n'hésitez pas à me corriger), ssh réponds la même chose que le mot de passe soit faux ou que la connexion par mot de passe soit désactivée, donc impossible (sauf effet de bord) pour l'attaquant de savoir que sa tentative de connexion à échoué à cause d'un mot de passe invalide ou de la désactivation de la connexion par mot de passe.
    Qu'est ce qui change vraiment alors ? Si j'ai un mot de passe suffisament robute, une règle fail2ban assez violente (comme je l'ai dit, au bout de 2 erreurs -> 1 semaine de ban), le brute force de mot de passe est aussi difficile que le brute force de clé sur mon serveur non ?
    L'argument des ip qui changent, je le trouve pas très fort, si on reste en ipv4, il y en a au max 4 milliard (2332) et je doute qu'un attanquant puisse toutes les exploiter, même s'il arrive à en avoir 1 million de disponibles, ça réduit d'environ 2220 la complexité à casser le mot de passe en brute force.