Il existe plusieurs de manière de bloquer les vilains assaillants essayant de se connecter à votre serveur en SSH. Vous pouvez utiliser Fail2ban, iptables mais aussi DenyHosts. Alors, pourquoi absolument installer DenyHosts ?
DenyHosts se différencie de Fail2ban sur plusieurs points :
- il ne s’occupe que du ssh alors que Fail2ban sait bloquer un grand nombre de services se basant sur l’authentification par mot de passe et ayant la capacité de logguer les essais infructueux dans le bon fichier de log
- le mode de blocage est différent, Fail2ban utilise iptables alors que DenyHosts utilise TCP Wrappers (leurs actions étant différentes, on comprend qu’ils sont complémentaires)
- synchronisation entre plusieurs DenyHosts : vous avez plusieurs serveurs, et grâce à cette fonction dès qu’un de vos serveurs subis une attaque, tous vos serveurs blacklistent cette IP
- partage des IP blacklistées via www.denyhosts.net, vous envoyez vos IP blacklistées, mais vous pouvez aussi recevoir les IP blacklistées par les autres utilisateurs (vous pouvez définir des seuils)
Vous aurez compris que DenyHosts, Fail2ban et iptables correctement configurés doivent cohabiter sur vos serveurs.
Je ne vais pas vous détailler l’installation et la configuration de DenyHosts, le fichier de conf /etc/denyhosts.conf est parfaitement commenté.
Si vous hésitez sur la valeur d’un paramètre, je vous invite à poster un message.
