Sauf qu'entre des tentatives de connexion, même vouées à l'échec, peuvent poser quelques problèmes. On a souvent eu le cas au taf d'une attaque DOS où l'attaquant fait des pre-auth sans même donner de login ensuite. Ça sature le serveur de connexions, et les connexions légitimes échouent par intermittence, rendant l'accès au serveur difficile pour nous et notre monitoring.
Et fail2ban ne fait pas que du SSH. Il nous est surtout utile sur Apache / Nginx, pour bloquer les DOS qui provoquent un grand nombre de requêtes PHP et/ou MySQL, plombant le serveur et rendant le site difficilement accessible, voire inacessible, fail2ban le bloquant alors avant même de toucher Apache.
On l'utilise aussi pour les mails (tentatives d'utilisation du Postfix comme d'un relais ouvert, même si sa conf ne le permet pas, certains essayent).
Merci. C'est vrai qu'en termes de facilité d'installation, CentOS n'est vraiment pas top sur ce genre de machine. En comparaison, l'installation d'Ubuntu est trivial sur ce genre de machine. Mais bon, quand on aime, on ne compte pas. :o)
Pas vraiment d'accord pour dire que c'est indispensable. En désactivant l'authentification par mot de passe pour ne laisser que l'authentification par clé, les chances d'un brute-force réussi sont quasi-nulle. En plus, il me semble qu'OpenSSH introduit un délai entre chaque tentative de reconnexion, et rien que ça c'est un gros frein à une attaque réussie même par mot de passe. Et ça permet d'éviter d'avoir un démon qui parse les logs en permanence. Maintenant ça m'intéresserait de savoir ce qui consomme le plus, entre fail2ban qui parse les logs en continu, et les attaquants qui tentent de se connecter en continu.
Par contre si l'authentification par mot de passe est activée, je recommande en effet très fortement d'avoir fail2ban ou équivalent.
Heureusement, ils ont eu la bonne idée d'ajouter le Bépo à la norme. Pour l'azerty par contre, le fr-oss aurait été plus judicieux je pense, au lieu de réinventer la roue.
Donc, rappelons : la base du problème est la gestion AZERTY installée par défaut dans Windows.
Et de là, on explose la symétrie des symboles, on fait des doublons entre ê et ^ , on rend même le système plus fou avec le modifier [Eu] accessible via [AltGr][H] …. et pour faire un ð, il faudra faire [AltGr][H] suivi de [d]…
On pouvait retourner vers un clavier tyupographique (comme le mac français) ou de développeur (comme le mac QWERTY), le AZERTY PC était un mauvais mix des deux, on a au final encore plus mauvais par un compromis moins compréhensible et simple.
J'oubliais le ç en modificateur, ce qui va être du bonheur à expliquer à mémé.
“trop distractives” voir même Image “vulgaire” en haut à gauche ?
et une fois le texte trouvé (avec difficulté) le français approximatif ne nous permet même pas de comprendre le sujet de l'article
C’est presque le clavier Apple !
Sauf qu'entre des tentatives de connexion, même vouées à l'échec, peuvent poser quelques problèmes. On a souvent eu le cas au taf d'une attaque DOS où l'attaquant fait des pre-auth sans même donner de login ensuite. Ça sature le serveur de connexions, et les connexions légitimes échouent par intermittence, rendant l'accès au serveur difficile pour nous et notre monitoring.
Et fail2ban ne fait pas que du SSH. Il nous est surtout utile sur Apache / Nginx, pour bloquer les DOS qui provoquent un grand nombre de requêtes PHP et/ou MySQL, plombant le serveur et rendant le site difficilement accessible, voire inacessible, fail2ban le bloquant alors avant même de toucher Apache.
On l'utilise aussi pour les mails (tentatives d'utilisation du Postfix comme d'un relais ouvert, même si sa conf ne le permet pas, certains essayent).
Merci. C'est vrai qu'en termes de facilité d'installation, CentOS n'est vraiment pas top sur ce genre de machine. En comparaison, l'installation d'Ubuntu est trivial sur ce genre de machine. Mais bon, quand on aime, on ne compte pas. :o)
Pas vraiment d'accord pour dire que c'est indispensable. En désactivant l'authentification par mot de passe pour ne laisser que l'authentification par clé, les chances d'un brute-force réussi sont quasi-nulle. En plus, il me semble qu'OpenSSH introduit un délai entre chaque tentative de reconnexion, et rien que ça c'est un gros frein à une attaque réussie même par mot de passe. Et ça permet d'éviter d'avoir un démon qui parse les logs en permanence. Maintenant ça m'intéresserait de savoir ce qui consomme le plus, entre fail2ban qui parse les logs en continu, et les attaquants qui tentent de se connecter en continu.
Par contre si l'authentification par mot de passe est activée, je recommande en effet très fortement d'avoir fail2ban ou équivalent.
Alors on imagine s'ils ont maintenant le mot de passe de votre boîte e-mail !
Heureusement, ils ont eu la bonne idée d'ajouter le Bépo à la norme. Pour l'azerty par contre, le fr-oss aurait été plus judicieux je pense, au lieu de réinventer la roue.
Donc, rappelons : la base du problème est la gestion AZERTY installée par défaut dans Windows.
Et de là, on explose la symétrie des symboles, on fait des doublons entre ê et ^ , on rend même le système plus fou avec le modifier [Eu] accessible via [AltGr][H] …. et pour faire un ð, il faudra faire [AltGr][H] suivi de [d]…
On pouvait retourner vers un clavier tyupographique (comme le mac français) ou de développeur (comme le mac QWERTY), le AZERTY PC était un mauvais mix des deux, on a au final encore plus mauvais par un compromis moins compréhensible et simple.
J'oubliais le ç en modificateur, ce qui va être du bonheur à expliquer à mémé.
sa sent pas la super idée.
Le tuyau est désormais sur la touche du L
Arf, le pipe a disparu !
Merci pour ton article !
Les questions proposaient par le Personal MBA sont vraiment très pertinentes et peuvent aider à maintenir le cap pendant les moments de doutes.
C'est sur, la France serait encore plus loin dans le classement (Russie, Bresil, Inde etc…) serait devant!
Personnellement, j'utilise ranger, qui est plutôt pas mal niveau fonctionnalités. Peut-être un peu moins léger, mais vachement complet et pratique.
(Et impossible de commenter direct sur le blog, ça me demande d'activer les cookies alors que c'est déjà le cas)
Entièrement d'accord.
Que ce genre de comparaison ne prend jamais en compte le niveau de vie, la fiscalité et les avantages de chaque pays.
Parr rapport à ?
Ne pas rire
:-)
Le langage est sympa, surtout sa société. Mais par contre je n'arrive pas à me faire au chemin imposé pour l'emplacement des projets et dépendances.
Vendredi, c'est Read only !
“trop distractives” voir même Image “vulgaire” en haut à gauche ? et une fois le texte trouvé (avec difficulté) le français approximatif ne nous permet même pas de comprendre le sujet de l'article