VINDICATORs wrote:(d'ailleurs il me semble bien que même sans firewalld/netfilter il faut quand même activer ces zones.
Je pensais que tu parlais des zones de firewalld, pas de fail2ban.
Mais bon, ça fait un moment que je n'utilise plus fail2ban, car si on n'utilise pas firewalld, il me semble que ça ne fonctionne plus.
Donc je suis passé à denyhosts, sur toutes mes machines/serveurs fedora/centos.
Je viens de vérifier sur une f21 et sshd est désactivé, mais il me semble qu'il y a un moment (un peu moins de 6 mois,,), j'avais été surpris d'avoir vu mon service sshd activé (si mes souvenirs sont bons...)
Tu as un log des tentatives ssh ? il faudrait regarder l'adresse IP, afin de voir si c'est venu d'internet, ou du réseau local, ou du loopback.
Mais si 1 des 2 dont tu parles n'avait pas de wifi, c'est plus préoccupant.
Il faudrait aussi tester si vous arrivez à atteindre le port ssh depuis internet, sur ces box.
Il faudrait aussi vérifier qu'il n'y a pas apache activé sur la machine, ou un autre programme/service qui pourrait utiliser ssh, car il me semble avoir lu un jour, que des tentatives sur ssh étaient logué mais ça venait d'un programme/service qui essayait d'utiliser ssh (car par défaut il y avait une option qui faisait ça).
Mais bon, sans plus d'infos, ou de logs, ça sera pas évident de trouver ce qui s'est passé/se passe.
En tout cas, sur mon routeur (qui n'est pas fourni par mon provider), je n'arrive pas à me connecter sur ma machine en ssh, si je ne redirige pas les ports sur le routeur, ou si je n'ouvre pas le port ssh dans le parefeu de ma machine (testé depuis 4 connexions différentes).
Si je rentrais dans mon mode parano favori, j'aurai tendance à vérifier que ces tentatives ne viennent pas de mon provider... ayant déjà vu des backdoors dans certaines boxes fournies par des provders suisse où il faudrait me torturer pour que j'aille chez eux... (sfr ou free j'en sais rien, n'ayant jamais été chez eux).