j'avais des tentatives de connexions avec les login usuels : root, mail, backup, www, nobody, www-data, etc ... et avec des login chopés dans des dictionnaires genre : patrick, john, etc...
ce que j'ai fait/vérifié (cf. sshd_config, etc...) :
- que root ne puisse pas se logguer en root (trivial) [PermitRootLogin no]
- création d'un groupe sshusers dans lequel je place au compte goutes les utilisateurs qui pourront se logguer via ssh
- j'ajoute la primitive [AllowGroups sshusers] dans le sshd_config
- puis j'y mets aussi [SyslogFacility AUTH] et [LogLevel VERBOSE]
ensuite une petite moulinette régilière sur "auth.log" et tous ce qui est suspect via au choix dans "hosts.deny" ou dans le fichier "blacklist" de shorewall ...
ça en élimine déjà pas mal mais on peut faire mieux...
# script kiddies
Posté par kolter (site web personnel, Mastodon) . En réponse au message Tentative d'intrusion. Évalué à 7.
j'avais des tentatives de connexions avec les login usuels : root, mail, backup, www, nobody, www-data, etc ... et avec des login chopés dans des dictionnaires genre : patrick, john, etc...
ce que j'ai fait/vérifié (cf. sshd_config, etc...) :
- que root ne puisse pas se logguer en root (trivial) [PermitRootLogin no]
- création d'un groupe sshusers dans lequel je place au compte goutes les utilisateurs qui pourront se logguer via ssh
- j'ajoute la primitive [AllowGroups sshusers] dans le sshd_config
- puis j'y mets aussi [SyslogFacility AUTH] et [LogLevel VERBOSE]
ensuite une petite moulinette régilière sur "auth.log" et tous ce qui est suspect via au choix dans "hosts.deny" ou dans le fichier "blacklist" de shorewall ...
ça en élimine déjà pas mal mais on peut faire mieux...
M.