voici une contrib qui tourne depuis un moment chez moi mais que j'ai enfin pris le temps de mettre en RPM.
Elle va beaucoup plaire aux acro de la securité et à ceux qui en ont marre des logs de six pieds de long a cause de petit lamers qui scannent les serveur ssh afin de faire des bruteforce.
Le principe denyhosts analyse en temps reel (ou presque) vos log sshd et bani directement dans la couche ip les tentatives d'intrusion. Resultat votre assaillant n'arrive plus a accéder au serveur après quelques tentatives (4 en l'occurence).
Je dis presque en temps reel car sshd est logué grace a multilog qui n'ecrit pas le log au fur et a mesure des echec mais a la fermeture de la connexion. Par defaut sshd est paramétré pour deux tentatives avant de fermer la connexion donc le log ne se met a joru que toutes les deux tentatives. MAsi quoi qu'il en soit ca ne laisse pas le temps de faire une brute force, et va alléger vos logs.
Cette contribs ne dispense pas des regles de securitées elementaire concernant le ssh :
- eviter de laisser l'acces au root via ssh preferez utiliser un autre user
- mot de passe fort pour les utilisateur et le root
- ne permettre l'acces ssh qu'à l'aide de clef ssh avec pass phrase en plus
- n'authorisez l'acces ssh externe que si il est absolument indispensable, sinon restreignez au reseau local.
- changez éventuellement le port ssh pour un port non standard : 2222 par exemple.
Vous trouverez un panel dans le manager qui vous ajoutera la liste des ip bannies ainsi que la possibilité d'ajouter des ip a ne jamais bannir( histoire d'eviter de s'enfermer soi meme a l'exterieur
).
le temps que les miroirs se propagent:
http://mirror.contribs.org/smeserver/co ... /denyhosts
attention le RPM en lui meme est en phase BETA encore attendez les retours de ceux qui peuvent le tester sur un serveur de test.
apres l'installation vi yum localinstall allez dans le manager pour l'activer et ajouter les ip à proteger histoire d epas vous enfermer dehors.
Jean-Philippe
