Re: Ataque por fuerza bruta por ssh. ¿Cómo evitarlo?

To: debian-user-spanish@lists.debian.org
Cc: "Lista Debian" <debian-user-spanish@lists.debian.org>
Subject: Re: Ataque por fuerza bruta por ssh. ¿Cómo evitarlo?
From: ChEnChO <chenchix@gmail.com>
Date: Mon, 11 Dec 2006 13:08:47 +0100
Message-id: <[🔎] 4e87bc930612110408o3fe552e1h4d1be952d5d4e33e@mail.gmail.com>
In-reply-to: <[🔎] 457D43CA.1060906@gmail.com>
References: <[🔎] 20061211113324.GA8376@harnina.unex.es> <[🔎] 457D43CA.1060906@gmail.com>

2006/12/11, Pablo Braulio <brulics@gmail.com>:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Diego Bote escribió:
>       Hola colisteros.
>
>       Pues eso, que el otro día me dio por mirar el log de auth y me
>       encontré con esto:
>
>       # grep Invalid  /var/log/auth.log
> Dec  5 08:26:03 localhost sshd[8107]: Invalid user test from
> 219.235.231.105
> Dec  6 03:45:36 localhost sshd[4908]: Invalid user patrick from
> 125.16.12.147
> Dec  6 11:38:12 localhost sshd[6383]: Invalid user webadmin from
> 202.38.120.253
> ...
> ...
> Dec  7 03:31:24 localhost sshd[7822]: Invalid user oracle from
> 148.208.234.7
> Dec  7 17:13:08 localhost sshd[9490]: Invalid user test from
> 219.136.9.84
> Dec  8 01:56:59 localhost sshd[10072]: Invalid user guest from
> 211.137.167.116
>
>       Por supuesto, para no aburriros, sólo he puesto un intento con
>       cada una de las IP que había, pero en realidad hubo
>        # grep Invalid /var/log/auth.log |wc -l
>        454
>        intentos.
>
>        No tengo muchos usuarios en el sistema y además he
>        deshabilitado a root para entrar por ssh, pero me gustaría
>        poder evitar tantos intentos seguidos, algo como "si fallas
>        tres te toca esperar una hora", pero no veo esa opción en el
>        man de sshd. La idea discutida hace poco del knockd la estoy
>        estudiando. Parece prometedora. ¿Álguien me puede dar una idea
>        sobre lo de esperar un tiempo si fallas un nº de intentos?
>
>        Saludos y gracias.
>
>                                               Diego Bote
>

Yo te recomendaría que cambiaras el puerto de acceso y que usaras clave
pública para el acceso de los usuarios.

De este modo evitas los intentos de acceso masivos, que generalmente se
lanzan contra el puerto 22 y si no usas contraseña como sistema de
acceso, no dejas opción al atacante.

- --


< ¡¡Nos vemos!!  >
 ----------------------------
    \
     \
                                   .::!!!!!!!:.
  .!!!!!:.                        .:!!!!!!!!!!!!
  ~~~~!!!!!!.                 .:!!!!!!!!!UWWW$$$
      :$$NWX!!:           .:!!!!!!XUWW$$$$$$$$$P
      $$$$$##WX!:      .<!!!!UW$$$$"  $$$$$$$$#
      $$$$$  $$$UX   :!!UW$$$$$$$$$   4$$$$$*
      ^$$$B  $$$$\     $$$$$$$$$$$$   d$$R"
        "*$bd$$$$      '*$$$$$$$$$$$o+#"
             """"          """""""
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFfUPKO8HO9/Ii6x0RAp1xAJ41E9CEz0xytJYEb4CRPW1RFF/HKgCfeUI8
nB5ULHtmJGRC/AR9tGBNaSU=
=JmOU
-----END PGP SIGNATURE-----


--
To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

ahora mismo no tengo mi pc delante, pero hay una utilidad que detecta
los accesos consecutivos (es configurable) y te mete esa ip en un
hosts.deny e impide que vuelvan a intentarlo.

Quizá te sirva

--
"... may the source be with you..."

Reply to:

References:
- Ataque por fuerza bruta por ssh. ¿Cómo evitarlo?
  - From: Diego Bote <dbote@unex.es>
- Re: Ataque por fuerza bruta por ssh. ¿Cómo evitarlo?
  - From: Pablo Braulio <brulics@gmail.com>

Prev by Date: Re: Ataque por fuerza bruta por ssh. ¿Cómo evitarlo?
Next by Date: Re: Control de Spam
Previous by thread: Re: Ataque por fuerza bruta por ssh. ¿Cómo evitarlo?
Next by thread: Re: Ataque por fuerza bruta por ssh. ¿Cómo evitarlo?
Index(es):
- Date
- Thread