Comment interdire temporairement une adresse IP après plusieurs tentatives de mot de passe incorrect?
Mon nouveau serveur a été piraté (soupir).
J'ai un accès physique à ma machine. Il semble que les seules modifications apportées aient été un nouveau compte utilisateur créé et un fichier cassé /etc/sudoers.
Il semble que le mot de passe ait été découvert par une attaque par dictionnaire.
Après avoir résolu ces problèmes (ou effectué une réinstallation complète?), Je souhaite ajouter un mécanisme permettant d'interdire une adresse IP (pendant peut-être 24 heures ou une certaine limite de temps) après avoir obtenu un mot de passe incorrect x nombre de fois, mais pas un administrateur système Unix ou quoi que ce soit, donc je ne sais pas vraiment par où commencer.
Quel logiciel dois-je utiliser et comment puis-je le configurer?
Merci.
fail2ban est une bonne solution, mais je suis un fan de DenyHosts , disponible dans le dépôt. Il suffit de faire Sudo apt-get install denyhosts, et cela installera DenyHosts et le démarrera avec une configuration assez judicieuse.
Je recommande de regarder fail2ban pour le faire pour vous:
https://help.ubuntu.com/community/Fail2ban
(En outre, oui, je voudrais juste faire une nouvelle installation, surtout s’ils ont un accès root.)
CSF sera une meilleure option pour vous.
ref: http://humanlinux.blogspot.com/2009/05/how-to-install-csf-in-ubuntu-linux.html