OpenBSD : limiter les attaques brut force sur SSHd avec PF
Par Fred le vendredi 27 mars 2009, 11:56 - Lien permanent
Vu sur la liste misc@openbsdfr
pass in on $ext_if proto tcp from any to ($ext_if) port ssh \
flags S/SA keep state \
(max-src-conn-rate 3/30, overload <ssh-bruteforce> flush global)
ça blackliste les IP qui tentent plus de 3 connexions SSH sur 30 secondes
/sbin/pfctl -q -t ssh-bruteforce -T expire 604800
à démarrer dans le cron pour purger les entrées de plus d'une semaine !
Commentaires
A quoi ça sert ?
Un accès SSH sur une interface publique ça se protège. D'accord il y a l'usurpation d'adresse IP... mais bon.
Pis IPTABLES sait limiter le nombre de connexion par seconde pour une adresse IP.
Peut être qu'il n'y a pas IPTABLES sous OpenBSD ... ?
SSH sur une interface publique ca se protège, sauf quand tu veux que SSH soit accessible.
Ensuite, ce que sait faire PF et ne sait pas faire NETFILTER, c'est la gestion de tables dans l'espace utilisateur.
PF permet d'ajouter ou supprimer des IP dans une table sans recompilation des règles contrairement à NETFILTER.
Si j'ai bien compris, les développeurs de netfilter vienne de releaser la premiere version de développement de la future version de netfilter qui permettra de faire de choses similaires (nftables)
Errata :
http://frederic.ple.name/index.php/...