« Protéger SSH avec sshguard » : différence entre les versions
Aller à la navigation
Aller à la recherche
(Page créée avec « category:debian category:serveur plop ») |
Aucun résumé des modifications |
||
(14 versions intermédiaires par le même utilisateur non affichées) | |||
Ligne 1 : | Ligne 1 : | ||
[[category:debian]] | [[category:debian]] | ||
[[category:serveur]] | [[category:serveur]] | ||
[[Category:security]] | |||
Installez sshguard : | |||
<pre>apt install sshguard</pre> | |||
Vous pouvez configurer une whitelist dans <code>/etc/sshguard/whitelist</code> (ip ou cidr) | |||
Si vous utilisez une IPv6 sur votre serveur, ajoutez une taille de bloc à blacklister dans <code>/etc/sshguard/sshguard.conf</code> : | |||
<pre> | |||
# IPv6 subnet size to block. Defaults to a single address, CIDR notation. (optional, default to 128) | |||
IPV6_SUBNET=64 | |||
# IPv4 subnet size to block. Defaults to a single address, CIDR notation. (optional, default to 32) | |||
#IPV4_SUBNET=24 | |||
</pre> | |||
Cela peut sembler violent de bloquer à coup de /64, mais la majorité des fournisseurs d'accès donnent accès à un /64 (quand ce n'est pas plus grand !) à leurs clients finaux, ce qui fait un paquet d'IPv6/128 prêtent à scanner votre serveur SSH. | |||
Vous pouvez aussi définir une <code>banlist</code> permanente avec <code>BLACKLIST_FILE=100:/var/lib/sshguard/blacklist.db</code>. La valeur <code>100</code> signifie qu'après 10 attaques, une IP est bannie définitivement (chaque attaque ayant un coût de 10, 10x10=100). | |||
Après vos modifications relancez sshguard | |||
<pre>/etc/init.d/sshguard restart</pre> |
Dernière version du 8 août 2022 à 22:53
Installez sshguard :
apt install sshguard
Vous pouvez configurer une whitelist dans /etc/sshguard/whitelist
(ip ou cidr)
Si vous utilisez une IPv6 sur votre serveur, ajoutez une taille de bloc à blacklister dans /etc/sshguard/sshguard.conf
:
# IPv6 subnet size to block. Defaults to a single address, CIDR notation. (optional, default to 128) IPV6_SUBNET=64 # IPv4 subnet size to block. Defaults to a single address, CIDR notation. (optional, default to 32) #IPV4_SUBNET=24
Cela peut sembler violent de bloquer à coup de /64, mais la majorité des fournisseurs d'accès donnent accès à un /64 (quand ce n'est pas plus grand !) à leurs clients finaux, ce qui fait un paquet d'IPv6/128 prêtent à scanner votre serveur SSH.
Vous pouvez aussi définir une banlist
permanente avec BLACKLIST_FILE=100:/var/lib/sshguard/blacklist.db
. La valeur 100
signifie qu'après 10 attaques, une IP est bannie définitivement (chaque attaque ayant un coût de 10, 10x10=100).
Après vos modifications relancez sshguard
/etc/init.d/sshguard restart