Re: configurar accés remot per ssh
On Tuesday 10 January 2012 13:22:40 Ernest Adrogué wrote:
> És bona idea això
> d'utilitzar un port no-estàndard, també em sembla recordar un sistema
> per detectar intrusions que era enviar un e-mail des del
> .bash_profile.
Jo he arribat a la conclusió de que no paga la pena canviar de port: no és
garantia de que no el trobin, cal documentar-ho, cal configurar les aplicacions
que fan servir SSH per conectar, i cal que els firewalls que tinguis per mig et
permetin conectar a aquest port "no estàndard" (quan ets "de visita" a una wifi
sovint tens restringits els ports de destí).
Els escaneigs de força bruta els pots evitar amb una eina com 'fail2ban' o
'denyhosts' que deia en Jordi(V). Permet N intents de connexió i a partir
d'aquí rebutja les conexions des de la IP "sospitosa" (durant una estona).
Aquest invent d'enviar un mail amb cada login... és una mica d'estar per casa,
per dir-ho finament. :-) Sobretot quan aquesta informació ja es guarda als
logs, independentment de amb quina shell entris. Si et sembla que et cal
vigilar els logs, et recomano que facis una ullada a 'logcheck'.
--
Jordi Funollet Pujol
http://www.linkedin.com/in/jordifunollet
Reply to: