Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

SSHGuard VS Fail2Ban

alfirdaous

Bonjour,

J'ai Fail2Ban installe sur mon serveur, est ce que SSHGuard est necessaire ou bien c'est la meme chose que Fail2Ban?

Merci

tiramiseb

Salut,

Il semble que ça fasse la même chose (mais de manière plus limitée).

Cela dit, ni l'un ni l'autre ne sont indispensables (ça fait des années que j'administre des serveurs sur lesquels je n'ai jamais eu besoin de ça)...

mazarini

Il me semble que ca limite les attaques par force brut et surtout rend les log moins chargées.

Il ne faut pas mettre trop de règles au risque de surcharger le serveur encore plus que les tentatives de connexion à répétition. J'ai laissé tomber la plus part des règles sur les url apache.

Je préfère knockd qui permet d'ouvrir les ports à la demande pour l'ip qui en fait la demande pour la protection de ssh.

alfirdaous

@tiramiseb: comment faire si on a pas un outil qui banne les attaqueurs?

@mazarini: Je n'ai pas trop de regles, quelques unes seulement, est ce knockd est bien, j'ai jamais entendu!!!

tiramiseb

alfirdaous a écrit@tiramiseb: comment faire si on a pas un outil qui banne les attaqueurs?

Je te répondrai par une question : quel est l'intéret de les bannir ? (et non pas "banner" :p)

mazarini a écritIl me semble que ca limite les attaques par force brut

Quel est l'intérêt ? Si le serveur est correctement sécurisé, aucun risque (par "correctement sécurisé", j'entend bien sûr la suppression des mots de passe et l'authentification par clé SSH uniquement).

mazarini a écritIl me semble que ca [...] rend les log moins chargées.

C'est bien le seul maigre intérêt que je vois à ces outils.

Sauf dans des cas où on est la cible d'une attaque d'envergure, ça permet d'alléger le serveur (bloquer les IP qui essaient de faire un DoS afin que le serveur derrière ne surcharge pas la machine), mais on ne rencontre pas ça tous les 4 matins...

mazarini

Je me dit qu'en bloquant quelques trucs, il y a des chances que le type aille voir sur une autre machine. La meilleure sécurité reste des logiciels à jours et un paramétrage correct.

Pour knockd, tu fermes le port 22 par iptables et tu lui indique comment l'ouvrir et le fermer.
Pour te connecter en ssh : "knockd 12345 4324 234 && ssh ...", sur le serveur knockd reconnait la séquence (ce sont des ports sur lesquels on envoie un paquet) et il ouvre le port 22. La séquence peux être en tcp ou en udp, c'est une sorte de mot de passe supplémentaire.
De manière plus général, on peut ainsi lancer une commande ou une double commande avec un délai. C'est appliqué à l'ouverture et la fermeture de ports. Moi, j'aime bien.

tiramiseb

mazarini a écritJe me dit qu'en bloquant quelques trucs, il y a des chances que le type aille voir sur une autre machine.

D'une part, il n'y a aucune certitude pour ça : le type fait ce qu'il veut, ça dépend de tellement de choses : son humeur, son éducation, son intérêt pour ta machine, etc.
D'autre part, qu'est-ce qu'on s'en fout qu'il reste là ou qu'il aille ailleurs : tant que ta machine est bien sécurisée tu ne crains rien...

mazarini

tiramiseb a écrit...tant que ta machine est bien sécurisée tu ne crains rien...

C'est ce qui nous différencie. Je pense que tu es plus compétent que moi (à prendre au premier degré), mais j'essaye de faire des progrès.

tiramiseb

Il est possible que, du fait que je suis plus compétent, j'ai plus confiance...

Mais bon, garder un serveur sécurisé ce n'est pas compliqué :
- authentification par clé SSH
- ne pas installer n'importe quoi
- mettre en place les mises à jour

mazarini

Et bien paramétrer les serveurs installés... C'est la ou je ne suis pas sur de moi.

tiramiseb

fail2ban ne protégera pas contre des erreurs de paramétrage des services installés 🙂

alfirdaous

je vais voir knockd apres, j'ai jamais utilise, qu'est ce qu'on doit mettre, enfin, sur la machine qu'elle soit bien protegee??

J'ai une auth SSH
Je fais chaque jour des mises a jour

Quoi d'autres??

[supprimé]

SSHGuard

cela n'a l'air pas terrible ce bidule. Vraiment loin de Fail2ban