Re: configurar accés remot per ssh

To: debian-user-catalan@lists.debian.org
Subject: Re: configurar accés remot per ssh
From: Ernest Adrogué <nfdisco@gmail.com>
Date: Tue, 10 Jan 2012 20:47:46 +0100
Message-id: <[🔎] 20120110194746.GB1776@doriath.local>
Mail-followup-to: debian-user-catalan@lists.debian.org
In-reply-to: <[🔎] 3687289.CZkNWOLR5X@suri>
References: <[🔎] 20120109214609.GA3379@doriath.local> <[🔎] CAHX6jZEFrc5CGRiLhn6KkZNr4Czh+Rw8DpoGqULvz2yaKZeViw@mail.gmail.com> <[🔎] 20120110122240.GA5097@doriath.local> <[🔎] 3687289.CZkNWOLR5X@suri>

10/01/12 @ 16:57 (+0100), Jordi Funollet escriu:
> Jo he arribat a la conclusió de que no paga la pena canviar de port: no és 
> garantia de que no el trobin, cal documentar-ho, cal configurar les aplicacions 
> que fan servir SSH per conectar, i cal que els firewalls que tinguis per mig et 
> permetin conectar a aquest port "no estàndard" (quan ets "de visita" a una wifi 
> sovint tens restringits els ports de destí).

Per ara l'única persona que es connectarà sóc jo amb el client ssh per
tant tampoc crec que sigui massa problemàtic. 

> Els escaneigs de força bruta els pots evitar amb una eina com 'fail2ban' o 
> 'denyhosts' que deia en Jordi(V). Permet N intents de connexió i a partir 
> d'aquí rebutja les conexions des de la IP "sospitosa" (durant una estona).

Ben bé força bruta no n'he trobat cap, només intents de login com a
"root" (que no està permès) però sembla que desisteixen bastant ràpid.
Si veig que va a més potser sí que hauré de prendre mesures.

> 
> Aquest invent d'enviar un mail amb cada login... és una mica d'estar per casa, 
> per dir-ho finament. :-) Sobretot quan aquesta informació ja es guarda als 
> logs, independentment de amb quina shell entris. Si et sembla que et cal 
> vigilar els logs, et recomano que facis una ullada a 'logcheck'.

Sí, és un invent bastant "cutre" però funciona :) En els logs es
guarda la informació, però clar els logs estan en el mateix ordinador.
Si l'intrús aconsegueix escalar privilegis (o com es digui :) pot
borrar els logs. A part que tampoc els miro. En canvi si s'envia
automàticament un mail a un compte de gmail per ex. això no té manera
d'evitar-ho, en principi, i es veu de seguida. Diguem que és com una
alarma. Si tens molts usuaris suposo que no és pràctic, però com que
només sóc jo sol i em connecto per ssh potser 2 cops a la setmana com
a molt, es pot fer.

> 
> -- 
> Jordi Funollet Pujol
> http://www.linkedin.com/in/jordifunollet
> 
> 
> --
> To UNSUBSCRIBE, email to debian-user-catalan-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: [🔎] 3687289.CZkNWOLR5X@suri">http://lists.debian.org/[🔎] 3687289.CZkNWOLR5X@suri
>

Reply to:

References:
- configurar accés remot per ssh
  - From: Ernest Adrogué <nfdisco@gmail.com>
- Re: configurar accés remot per ssh
  - From: Alex Muntada <alexm@alexm.org>
- Re: configurar accés remot per ssh
  - From: Ernest Adrogué <nfdisco@gmail.com>
- Re: configurar accés remot per ssh
  - From: Jordi Funollet <jordi.f@ati.es>

Prev by Date: Re: configurar accés remot per ssh
Next by Date: Re: configurar accés remot per ssh
Previous by thread: Re: configurar accés remot per ssh
Next by thread: Re: configurar accés remot per ssh
Index(es):
- Date
- Thread