Forum général.général VPS et attaques brute force

Posté par  . Licence CC By‑SA.
Étiquettes :
2
3
fév.
2018

Bonjour,

J'ai un VPS qui se fait attaquer par ssh régulièrement depuis 2 mois environ. J'ai dû installé fail2ban pour me protéger des attaques qui régulièrement faisaient down mon serveur. Je ne sais pas si c'est normal de se faire autant attaquer, j'en suis arrivé à un total d'environ 3000 IP bannies, sachant que je n'ai communiqué à personne l'adresse de mon VPS. Si vous avez d'autres conseils pour me prémunir.

Merci.

  • # password?

    Posté par  . Évalué à 2.

    Est-ce que tu as configuré ssh pour refuser les logins par mot de passe? C'est la configuration recommandée pour sécuriser un serveur public.

    De mon côté j'ai effectivement plein de tentatives de connexion, mais le serveur n'est jamais "down". Il est même très peu occupé puisqu'il vire dès le handshake.

    ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

    • [^] # Re: password?

      Posté par  . Évalué à 2.

      Effectivement, je n'ai pas désactivé l'authentification par mot de passe, mais cela suppose de sécuriser le poste qui possède la clé…
      En fait, je suppose que mon serveur déconnait avant que j'installe fail2ban parce que les tentatives étaient nombreuses (obligation de forcer à rebooter le VPS pour pouvoir s'y reconnecter). Depuis que j'ai installé fail2ban et un bannissement après 5 tentatives infructueuses, je n'ai plus eu d'instabilité du serveur.

      • [^] # Re: password?

        Posté par  . Évalué à 2.

        Effectivement, je n'ai pas désactivé l'authentification par mot de passe, mais cela suppose de sécuriser le poste qui possède la clé…

        Oui cela t'oblige à cette gymnastique, mais dès que ce poste n'est pas un serveur public, tu auras bien moins d'attaques.

        ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

  • # Normal

    Posté par  (site web personnel) . Évalué à 5.

    C'est tout à fait normal. Toutes les machines connectées à internet se font attaquer de la sorte. Ce sont des botnets qui mènent ces attaques, ce qui explique le nombre d'IPs bannies.

    Comme mentionné dans un autre commentaire, tu peux configurer ssh pour refuser les mots de passe. De cette façon tu peux même virer fail2ban, tu ne risques plus rien du tout.
    Si tu utilises de bons mot de passes pour tous les utilisateurs qui ont le droit de se connecter par mot de passe, tu ne risques presque rien non plus.

  • # bind sur SSH Tor Hidden Service uniquement

    Posté par  . Évalué à 2.

    Avec ça il faut connaître ton hostname.onion pour pouvoir tenter une connexion et il faut que l'attaquant configure tor sur son logiciel d'attaque.
    Cette légère augmentation de la complexité est suffisante pour disparaître aux yeux de la majorité des lamers.

  • # Changer le port par défaut

    Posté par  . Évalué à 3.

    Personnellement, j'ai eu le même problème à chaque fois que j'ai installé un dédié, changer le port par défaut du démon sshd est la solution miracle, 0 attaques depuis.
    C'est bien aussi d'interdire le login root et de forcer l'authentification par clé.
    Il faut juste veiller à se souvenir du numéro qu'on a choisi et de ne pas perdre sa clé RSA.

  • # Tuto

    Posté par  . Évalué à 1.

    Pour mettre en pratique ces conseils : http://www.deltasight.fr/securiser-protocole-ssh/

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.