Protéger votre serveur ssh contre les attaques brute-force

Décembre 2016

ssh est excellent pour accéder à distance à ses fichiers, ou même utiliser son ordinateur à distance.

Mais que faire contre les attaques de type brute-force ?
(Essai de toutes les combinaisons de lettre pour trouver le mot de passe).

C'est simple: sudo aptitude install fail2ban

Et voilà !

Si quelqu'un fait 6 essais ratés de connexion sur le serveur ssh, son adresse IP sera bannie pendant 10 minutes.
C'est suffisant pour rendre inutile ce genre d'attaque.

Pour voir les actions du programme, faites: sudo cat /var/log/fail2ban.log

Aller plus loin


En fait, fail2ban peut être configuré pour faire plein d'autres choses.
Dans le principe, il surveille les fichiers log de votre choix, et déclenche alors des actions.

Dans le cas de ssh, il surveille /var/log/auth.log et lance des commandes iptables pour bannir les adresses IP.

Regardez le fichier /etc/fail2ban/jail.conf
Il contient déjà les lignes pour bloquer les attaques sur les serveurs ftp (vsftpd, wuftpd, proftpd...), postfix, apache...
Vous pouvez les activer en remplaçant enabled = false par enabled = true.

A voir également :

Ce document intitulé «  Protéger votre serveur ssh contre les attaques brute-force  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.