[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: tentativi di accesso a root via ssh

Pietro Giorgianni ha scritto:
> spulciando nei syslog vecchi ho trovato una marea di righe tipo:
> 
> Mar 22 03:09:03 follia sshd[25693]: (pam_unix) authentication failure;
> logname= uid=0 euid=0 tty=ssh ruser= rhost=linux.drk-chemnitz.de
> user=root
> 
> da quest'host, un centinaio, e cmq. molti, moltissimi tentativi simili
> da miriadi di host diversi, tipo:
> 

E' perfettamente normale, quando si è online 24/7 e si hanno i servizi
aperti, se controlli i log di apache troverai anche li tentativi di di
tutti i tipi, basta cercare con attenzione.

> premetto che la password di root mi sembra sufficientemente sicura,
> ovvero, a meno che non si mettano a provare tutte le combinazioni di
> caratteri possibili, difficilmente la troveranno; l'elenco degli

Se mi permetti un consiglio, disabilita l'accesso da root diretto, ma
solo tramite utente normale, che poi fa su normalmente.

Io per precauzione utilizzo solo account senza password e con accesso
con chiave pubblica, in questo modo possono provare tutte le pass che
vogliono tanto non esiste quella buona :-) Nel mio caso acccedo solo in
remoto quindi non mi servono le password per gli account, se per te non
è così puoi lasciarle ma comunque disabilitare l'accesso con password
solo per ssh.

Tutte queste cose possono essere impostate dal file /etc/ssh/sshd_config
se ti interessa ti passo in privato il mio.

> tuttavia, mi piacerebbe in qualche modo scoraggiare questo genere di
> iniziative, che in ogni caso mi rendono nervoso.

Ovviamente questi tentativi sono fatti da dei portscan + bot, macchine
fatte apposta per rompere le scatole (magari pc infetti di ignari utenti
ovviamente Windows), e quindi avrai sempre a che fare con questo tipo di
problemi. Cmq per risovere in parte il problema (se non altro dal punto
di vista delle risorse utilizzate per lanciare tutti quei processi ssh)
io utilizzo le seguenti due regole di iptables:

1)
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW
-m recent --update --seconds 60 --hitcount 3 --name DEFAULT --rsource -j
DROP

2)
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW
-m recent --set --name DEFAULT --rsource

queste due regole limitano il numero di pacchetti SYN per unità di tempo
provenienti dallo stesso ip (in questo caso 3 al minuto, parametri
hitcount e seconds), perciò il bot che proverà ad accedere per 3 volte
avrà risposta dal demone ssh ma la successive connessioni nello stesso
minuto saranno droppate. Ovviamente questo vale anche per te, quindi non
potrai aprire + di 3 nuove connessioni al minuto. Chiaramente sei libero
di regolare i parametri come meglio credi. Ti lascio il link da cui ho
preso spunto (leggi copiato) per le regole:

http://www.debian-administration.org/articles/187

> inoltre, vorrei, se sono al pc, essere informato in tempo reale di
> questo genere di cose.

Potresti smanettare un po con i file di configurazione di syslogd per
mandare questi messaggi sulla console, ma se applichi le regole che ti
ho indicato prima il loro numero diminuirà drasticamente.

Ciao

-- 
Fabio Napoleoni
f.napoleoni@email.it

****************************************************************
 "Computer Science is no more about computers than astronomy is
 about telescopes"
                                             Edsger W. Dijkstra
****************************************************************
Reply to: