« Protéger SSH avec sshguard » : différence entre les versions
Aller à la navigation
Aller à la recherche
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 15 : | Ligne 15 : | ||
#IPV4_SUBNET=24 | #IPV4_SUBNET=24 | ||
</pre> | </pre> | ||
Cela peut sembler violent de bloquer à coup de /64, mais la majorité des fournisseurs d'accès donnent accès à un /64 (quand ce n'est pas plus grand !) à leurs clients finaux, ce qui fait un paquet d'IPv6/128 prêtent à scanner votre serveur SSH. | |||
Après vos modifications relancez sshguard | Après vos modifications relancez sshguard | ||
<pre>/etc/init.d/sshguard restart</pre> | <pre>/etc/init.d/sshguard restart</pre> | ||
Version du 8 août 2022 à 22:40
Installez sshguard :
apt install sshguard
Vous pouvez configurer une whitelist dans /etc/sshguard/whitelist (ip ou cidr)
Si vous utilisez une IPv6 sur votre serveur, ajoutez une taille de bloc à blacklister dans /etc/sshguard/sshguard.conf :
# IPv6 subnet size to block. Defaults to a single address, CIDR notation. (optional, default to 128) IPV6_SUBNET=64 # IPv4 subnet size to block. Defaults to a single address, CIDR notation. (optional, default to 32) #IPV4_SUBNET=24
Cela peut sembler violent de bloquer à coup de /64, mais la majorité des fournisseurs d'accès donnent accès à un /64 (quand ce n'est pas plus grand !) à leurs clients finaux, ce qui fait un paquet d'IPv6/128 prêtent à scanner votre serveur SSH.
Après vos modifications relancez sshguard
/etc/init.d/sshguard restart