Auteur Sujet: Brute force SSH sur VPS  (Lu 1114 fois)

0 Membres et 1 Invité sur ce sujet

maximushugus

  • Abonné SFR fibre FttH
  • *
  • Messages: 258
  • 69
Brute force SSH sur VPS
« le: 07 décembre 2022 à 21:18:03 »
Bonjour,
je voulais l'avis de ceux qui pourraient avoir l'habitude : j'ai un petit VPS chez un fournisseur de taille moyenne/grosse, que j'utilise pour quelques services depuis peu.
J'ai un accès SSH dessus, avec un firewall et surtout avec fail2ban d'installé avec des règles de blocage au delà de 3 tentatives, pour une durée de 24h.

Depuis maintenant 2 jours, j'ai globalement en permanence autour de 200 IP bloquées (donc par 24h) avec un nombre de tentative au total en milliers sur l'accès SSH de ce VPS.
Est ce que ces chiffres sont habituels pour vous ? Ou bien dois-je m'inquiéter et réserver l'accès SSH à quelques IP avec lesquelles j'accède au VPS (ce qui ne serait pas pratique pour moi) ?

Merci de votre retour d'experience  :)

thedark

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 5 667
  • Réseau Covage
Brute force SSH sur VPS
« Réponse #1 le: 07 décembre 2022 à 21:34:41 »
Salut, ça me choque pas.

Sinon change le port SSH. Tu n'auras plus de souci ;)

zergflag

  • Abonné Bbox fibre
  • *
  • Messages: 1 941
Brute force SSH sur VPS
« Réponse #2 le: 07 décembre 2022 à 21:39:36 »
Sinon change le port SSH. Tu n'auras plus de souci ;)

+1

matrix-bx

  • Fédération FDN
  • *
  • Messages: 85
Brute force SSH sur VPS
« Réponse #3 le: 07 décembre 2022 à 22:15:14 »
Salut,

J'avoue ne plus prêter attention à ça depuis que l'authentification par mot de passe est désactivée (sauf pour certains users spécifiques).

blarglibloup

  • Invité
Brute force SSH sur VPS
« Réponse #4 le: 07 décembre 2022 à 22:57:51 »
Salut, ça me choque pas.

Sinon change le port SSH. Tu n'auras plus de souci ;)
s/n'// s/plus/moins/
j'ai le ssh sur un port non-standard sur toutes mes machines, je tourne quand même à 200/300 IPs ban (je ban sur 1 semaine perso, ça fatigue moins les neurones ;)

rooot

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 1 647
  • 🔵🔵🔵🔵⚪⚪⚪⚪🔴🔴🔴🔴
Brute force SSH sur VPS
« Réponse #5 le: 08 décembre 2022 à 21:08:25 »
le port knocking est aussi une solution radicale et facile à mettre en place. https://www.it-connect.fr/chapitres/configuration-du-port-knocking-ssh/
en fait avec Fail2ban et ssh sur le port 22, c'est comme si tu avais une discothèque avec une grande porte d'entrée et un videur devant. Avec le port knocking c'est comme si la discothèque n'avait aucune porte visible (du coup pas besoin de videur, je ne vois pas vraiment un hacker chercher la combinaison de ports pour entrer, a moins de vraiment vouloir cibler ton serveur).

maximushugus

  • Abonné SFR fibre FttH
  • *
  • Messages: 258
  • 69
Brute force SSH sur VPS
« Réponse #6 le: 08 décembre 2022 à 22:07:12 »
Merci pour vos retours  :)

pitalugue

  • Abonné Free fibre
  • *
  • Messages: 542
Brute force SSH sur VPS
« Réponse #7 le: 09 décembre 2022 à 09:44:07 »
Votre situation est normale.

Il y a des descendants du Hail Mary Cloud qui estiment avoir des années devant eux. A bas bruit ils viennent frapper à la porte en évoluant lentement sur des années.
Cela ne nécessite pas de mesure extraordinaire pour s'en défendre.
Typiquement, blindez votre daemon comme des intervenants le signalent déjà ici: sur interface publique, si possible autorisez explicitement les comptes et pas d'accès root à distance, authentification uniquement par clef voire par certificat, bon niveau de logging, autorisez au plus les niveaux de crypto par défaut de la dernière version SSH.

Au pare-feu, inutile de trop en faire car inutile de bannir l'adresse d'un robot qui reviendra demain avec une autre adresse se connectant seulement toutes les x minutes. Par contre il convient d'éliminer les énervés (typiquement humains) qui, eux, n'ont pas le temps et placent trop de connexions en un court laps de temps, donc habituellement limitation du nombre de connexions simultanées d'une même source et limitation du nombre de tentatives d'une même source sur une durée assez courte. Pour un programme aussi audité et sécurisé que SSH, montrer que le service est défendu dissuade rapidement tous les opportunistes qui n'ont pas un intérêt singulier pour vous ou votre serveur. Ils préfèreront aller utiliser leur temps ailleurs.

Quant au bruit de fond, il n'est pas utile de s'en inquiéter sauf s'il pompe dans les ressources de votre serveur ou que vos journaux d'audit montrent une nouvelle tendance (cas concret en exemple: à la suite de la découverte d'une faiblesse du daemon sur versions précédentes, tentatives de dégrader les niveaux de cryptographie à la connexion).