Se protéger des attaques de dictionnaire avec iptables
Écrit le 06/05/2006 @ 10:15 par Drizzt
Une quickie pour ceux qui veulent augmenter la sécurité de leur machine. Si vous voyez souvent dans vos logs des tentatives de connexions sur un service, SSH par exemple, d'un IP que vous ne connaissez pas, ou encore avec des noms d'utilisateurs qui n'existe pas, ces séquences iptables vous intéresserons!
Ces 2 commandes activeront une fonctionnalité de monitoring dans iptables. Ce qu'elles vont lui dire, c'est de surveiller les nouvelles connexions TCP sur un port donné, et d'insérer un délais de 60 secondes s'il y a 4 nouvelles connexions du même IP en 60 secondes.
iptables -I INPUT -p tcp --dport 22 -i eth1 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth1 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
Pour l'avoir essayé sur 2 serveurs, ça fonctionne très bien!
Dernière modification le 06/05/2006 @ 10:17 par Drizzt