J'ai vu de nombreuses fois dans mon rapport LogWatch des "connexions entrantes refusées" à partir d'un certain nombre d'adresses IP. Ce sont peut-être des pirates ou des robots automatisés qui tentent de pirater mon serveur. Comment arrêter de telles attaques sur mon serveur ? Vous pouvez le faire de 2 façons :L'une bloquant dans le pare-feu et l'autre comme ci-dessous :
Configuration de "hosts.allow" et "hosts.deny" :ces actions sont aussi simples pare-feu aussi
Les services encapsulés TCP font référence aux deux fichiers suivants pour la fonction de contrôle d'accès de l'hôte.
/etc/hosts.allow /etc/hosts.deny
Lorsqu'une requête client est reçue par un service encapsulé TCP comme SSH, il suit l'ordre ci-dessous :
1. Références /etc/hosts.allow :Analyse séquentiellement le fichier /etc/hosts.allow fichier et applique la première règle spécifiée pour le service correspondant. Celui-ci contient des entrées d'hôtes autorisés à se connecter au service. S'il trouve une règle correspondante, il autorise la connexion. Sinon, il passe à l'étape 2 suivante.
2. Références /etc/hosts.deny :Analyse séquentiellement le /etc/hosts.deny dossier. Celui-ci contient des entrées d'hôtes bloqués. S'il trouve une règle correspondante, il refuse la connexion. Si ce n'est pas le cas, l'accès au service est accordé.
Envisagez un scénario consistant à autoriser les connexions uniquement à partir de 192.168.0.x et à refuser toutes les autres. Tout d'abord, autorisez l'accès en plaçant ce qui suit dans /etc/hosts.allow :
sshd: 192.168.0.* : allow
Interdisez ensuite tout accès ultérieur en le plaçant dans /etc/hosts.deny :
sshd: ALL
Pour plus d'informations sur la configuration des wrappers TCP, rendez-vous ici.