En vrac: un iptables-save bien configuré puis fail2ban et portsentry pour les script-kiddies et enfin un knockd pour planquer les services privés (SSH, FTP, etc.)
Je ne vois pas le problème du scan de port. Okay, on sait que tel service tourne, très bien. Après il faut que ce service soit mal installé/configurer pour pouvoir exploiter une faille. Donc personnellement, je n'installe ni psad ni portsentry.
Ensuite, j'avait l'habitude d'installer fail2ban, mais je me suis rendu compte que c'était assez cracra (rajouter des règles iptables pour chaque ip bof, bof), et surtout il y a d'autres moyens plus propre pour éviter le brute force que fail2ban.
Le premier, c'est qu'on ma expliqué qu'il y avait déjà un méchanisme semblable intégré à SSH (man sshd_config, et regardez du coté LoginGraceTime, MaxAuthTries), je ne l'ai jamais utilisé.
L'autre solution que j'utilise, c'est ne n'autoriser que les connections avec les clefs ssh.
Sinon, on peut utiliser rien de tout ça, et un mot de passe complexe associé à la désactivation du compte root, et normalement il n'y a aucun souci. Si on regarde ce que font les kiddies-scripts qui bruteforce ssh, ils essaient de ce logger en tant que service ou root, alors t'as aucun souci à te faire pour ton compte raoul.
Knowing the syntax of Java does not make someone a software engineer.
[^] # Re: Sécurité !
Posté par Niniryoku . En réponse au journal Tutoriel d'autohébergement. Évalué à 10.
Je ne vois pas le problème du scan de port. Okay, on sait que tel service tourne, très bien. Après il faut que ce service soit mal installé/configurer pour pouvoir exploiter une faille. Donc personnellement, je n'installe ni psad ni portsentry.
Ensuite, j'avait l'habitude d'installer fail2ban, mais je me suis rendu compte que c'était assez cracra (rajouter des règles iptables pour chaque ip bof, bof), et surtout il y a d'autres moyens plus propre pour éviter le brute force que fail2ban.
Sinon, on peut utiliser rien de tout ça, et un mot de passe complexe associé à la désactivation du compte root, et normalement il n'y a aucun souci. Si on regarde ce que font les kiddies-scripts qui bruteforce ssh, ils essaient de ce logger en tant que service ou root, alors t'as aucun souci à te faire pour ton compte raoul.
Knowing the syntax of Java does not make someone a software engineer.