RE: [CBLX] fail2ban

[ Thread Index | Date Index | More lists.tuxfamily.org/carrefourblinux Archives ]

To: <carrefourblinux@xxxxxxxxxxxxxxxxxxx>
Subject: RE: [CBLX] fail2ban
From: "Gregory Fardel" <gregory.fardel@xxxxxxxxxx>
Date: Thu, 4 Mar 2010 21:07:34 +0100
Thread-index: Acq7vvfbTUzQ5J5sSAGyCuPsWoNfuAAFdK2Q

> 
> Hello,
> 
> nouveau modem/routeur, nouvelle police de sécurité sur ma Debian:
> 
> 1)
> je viens d'installer (histoire d'essayer) une petite appli 
> fort sympa, appelée fail2ban.
> 
> Qq'un ici connaît-il cette bestiole ?
> Je cherche à savoir si c'est suffisament sécure de laisser la 
> conf standard proposée, ou s'il vaut mieux ... revisser 
> quelques boulons plus solidement ? 
> :-)
> 
> Attention, je ne veux pas aller jusqu'à la parano, genre 
> banir tout accès ssh pendant un mois à celui qui rate son mdp 
> trois fois ... mais je sais que c'est configurable ...
> 
> 2)
> pour interdire tout accès par login + mdp, es-ce dans 
> sshd_config que ça se configure ? quelle ligne exactement ?
> (le but étant du coup d'avoir accès par clé rsa (cf. authorized_keys))
> 
> Aldo.
> 
Salut l'ami !

Bien bien.

Pour commencer, comme c'est un Suisse qui a créé fail2ban ... Ben ....
C'était juste pour le faire savoir. Attention, c'est bientôt Vendredi donc
me suis donné l'autorisation :)

Moi, avec fail2ban, sur tous mes serveurs, je diminue le nombre de retry
(ex. ssh dos à 2 à la place de 6). Tu peux le faire avec d'autres logiciels
également, donc dans le jail.conf, ex. apache, proftpd, etc ... Selon ce que
tu as envie, si tu veux que ce soit super sécurisé, reste dans les petites
tentatives (genre 3 ou 4).

Si on arrive à bien te brutforcer, j'avais entendu dire qu'on pouvait
réussir à passer quelques secondes de plus à obtenir des tentatives
supplémentaires, m'enfin bon, faut déjà que ton CPU soit bien chargé !
De toutes façons, comme ça reste au niveau d'iptables, du moment que c'est
dans les rules, l'ip ne passe plus.

Pour ssh :

C'est avec l'option PasswordAuthentication que tu peux gérer ça, dans le
fichier /etc/sshd/sshd_config.

Yes = authentification avec mot de passe, no = pas d'authentification avec
mot de passe, fait bien attention d'être sûr d'avoir accès avec une clé sur
ta machine, d'une fois que tu auras basculé cette option !

Voilà voilà ... J'espère que j'ai été assez précis !

A plus et bonne nuit pour ceux qui vont se coucher ! :)

Gregory
 

__________ Information provenant d'ESET Smart Security, version de la base
des signatures de virus 4916 (20100304) __________

Le message a été vérifié par ESET Smart Security.

http://www.eset.com
 


---
--
   CarrefourBLinuX MailingListe
   Pour obtenir de l'aide, envoyez le sujet  help  à:
   carrefourblinux-request@xxxxxxxxxxxxxxxxxxx
   Archives:
   http://listengine.tuxfamily.org/lists.tuxfamily.org/carrefourblinux

Follow-Ups:
- Re: [CBLX] fail2ban
  - From: Aldo

References:
- [CBLX] fail2ban
  - From: Aldo

Messages sorted by: [ date | thread ]
Prev by Date: Re: [CBLX] UNR - wi-fi, le piège, la solution
Next by Date: Re: [CBLX] UNR - wi-fi, le piège, la solution
Previous by thread: [CBLX] fail2ban
Next by thread: Re: [CBLX] fail2ban

Mail converted by MHonArc 2.6.19+

http://listengine.tuxfamily.org/