Re: SSHd

To: debian-italian@lists.debian.org
Subject: Re: SSHd
From: Giovanni Laieta <giolay@tin.it>
Date: Wed, 8 Sep 2004 16:31:06 +0200
Message-id: <[🔎] 20040908143106.GA3637@lain-network.dyndns.org>
Mail-followup-to: debian-italian@lists.debian.org
In-reply-to: <[🔎] 00dd01c4959b$9aebf140$0ac8a8c0@Marzocca>
References: <[🔎] 00dd01c4959b$9aebf140$0ac8a8c0@Marzocca>

Ciao Fabio,
On Wed, Sep 08, 2004 at 02:01:41PM +0200, Fabio Marzocca wrote:
> Ho recentemente dato un'occhiata al mio file auth.log e ho trovato numerose
> linee come la seguente:
> 
> Aug 30 00:01:05 Rospo sshd[29526]: reverse mapping checking getaddrinfo for
> ds201-41.ipowerweb.com failed - POSSIBLE BREAKIN ATTEMPT!
> Aug 30 00:01:05 Rospo sshd[29526]: Failed password for root from
> 66.235.201.41 port 44357 ssh2
> 
anche io ho i log dei server pieni. E' sicuramente qualche tool di
security auditing tipo nessus che prova utenti "comuni" con password
"comuni" evidentemente lanciato da qualcuno che non ha nulla di meglio
da fare...

> !!!!
> Come posso configurare sshd per evitare questo? Non c'è un modo per limitare
> i tentativi di guess della password??
>
1- elimina l'eccesso diretto di root
2- permetti agli utenti di loggarsi solo tramite chiave pubblica/privata

Comunque la cosa migliore, se puoi, e' quello di firewallare sshd e lasciarlo
accedibile solo dagli ip che usi normalmente per connetterti. Questa e'
gia' un' ottima soluzione che ti preserva anche da attacchi quali buffer
overflow dagli ip non trusted. Purtroppo in molti casi, come ad esempio il
mio, non si puo' rendere accessibile ssh solo da alcuni ip visto che mi
collego da diversi punti e non sono l'unico che puo'/deve connettersi
via ssh al server.

Se ti trovi nella mia situazione una soluzione possibile e' questa:
http://www.portknocking.org/
esistono diverse implementazioni di portknocking-deamon ma ti avviso che
e' solo un placebo per evitare attacchi tipo quello da te loggato e
non ti preserva certo da attacchi portati da persone esperte in materia
di sicurezza. Inoltre la sicurezza viene implementata nel peggiore dei
modi ovvero tramite security through obscurity. IMHO non e' una
soluzione valida e sicuramente piena di difetti ma comunque usabile 
temporaneamente.

E' diverso tempo che studio una soluzione possibile e pensata con i
sacri crismi ma fin ora ho trovato solo "robaccia".

Ho analizzato/provato portknokd che si trova anche
in pacchetto debian:
http://www.zeroflux.org/knock/
ma tralascio ogni commento che e' meglio anche perche' l'autore non
risponde alle segnalazioni...

Ho studiato anche il codice di cryptoknockd:
http://cryptknock.sourceforge.net/
che "sembra" il piu' sicuro ma in realta' esso ha un errore
nell'implementazione del protocollo che lo rende praticamente in
chiaro...

Ciao
giovanni

-- 
Giovanni Laieta (LAIn_)
Cell: 339 88 85 781
E-Mail: giovanni.laieta@milug.org
GPG key fingerprint: F972 DFEB 1EE6 C81C 09BF  6E59 EE3F 1CFA 2475 0553

Reply to:

Follow-Ups:
- Re: SSHd
  - From: Raffaele D'Elia <r.delia@starcomitalia.com>
- Re: SSHd
  - From: Fabio Marzocca <marzocca@mclink.it>

References:
- SSHd
  - From: "Fabio Marzocca" <marzocca@mclink.it>

Prev by Date: Re: SSHd
Next by Date: Re: SSHd
Previous by thread: Re: SSHd
Next by thread: Re: SSHd
Index(es):
- Date
- Thread