Re: intrusione
> Rinnovo i ringraziamenti a tutti :-)
>
> Ovviamente: "mea culpa" ad aver messo password banali su un server di
> test (ho sottovalutato l'ambito sicurezza) - quello che è successo ieri
> mi servirà da lezione :-P
>
> Giusto in questo periodo (altra cosa paradossale) - su un server di
> produzione ho implementato alcuni IDS. Così se qualcuno è rimasto
> allibito dalla mia esperienza... sa da dove partire:
>
> - fail2ban: blocca tramite iptables gli IP (con possibilità di
> configurare se bloccare l'IP sulla porta o fare un DROP completo all'IP)
>
> - psad: banna con notifiche via mail (quindi alert in tempo reale) dei
> tentativi di scanport (nmap) o altro
>
> - snort (potentissimo!) ma sto ancora studiando le regole
>
> - logcheck (monitora cosa accade nel sistema) e invia un report di ciò
> che è accaduto (tipo la creazione di un nuovo utente), cambio password,
> cambio file di sistema, ecc.
>
> sul server in produzione ho tutti questi IDS e sto iniziando ad
> allineare il tutto
>
> denyhost (come suggeriva qualcuno) ci do un occhio, grazie
>
> e aggiungo portsentry (che usavo anni fa): simula porte aperte per
> rendere + difficile i tentativi di accesso.
>
E sugli ssh pubblici, solo accesso con chiave. Niente password ammesse.
Reply to: