Skip to content

sshguard ou fail2ban : «Protégeons nous des hackers chinois»

Nos serveurs reçoivent régulièrement des tentatives de connexions en ssh depuis des ip inconnues (souvent basées en chine ou en russie). Il pourrait être pertinent de déployer fail2ban ou sshguard dont le fonctionnement est le suivant : au bout de N essais infructeux de connexion, l'ip indésirable est bloquée par une règle iptables pendant M heures.

À nous de choisir entre les deux :

  • sshguard s'occupe que du SSH et marche en ipv6 et est plus léger
  • fail2ban est plus lourd et potentiellement ne marche aps en ipv6.

Il faut aussi définir N et M (classiquement respectivement 3 et 24).