Re: sshd sobre xinetd, � o no?
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Roberto Leon Lopez wrote:
> Tengo un servidor con sshd configurado, con hosts.allow y hosts.deny
> controlo desde que subred permito entrar ya que tengo una ip dinamica
> pero se mueve dentro de una subred.
>
> El demonio sshd se levanta por xinetd cuando recibe una peticion ya que
> apenas se usa el servicio y controla que mas de 3 conexiones a la vez no
> permita.
Perdona, que distribucion usas?
>
> Estoy pensando en instalar fail2ban para banear los intentos delogin
> aunque desde que los cerre en condiciones con hosts.allow no han vuelto
> a intentarlo.
Yo te recomiendo no usar ese tipo de soluciones. Porque?
+ En gral, los intentos que reciben son gusanitos que buscan el puerto
22. Mover el ssh de alli los deja fuera.
+ En gral, esos gusanitos, estan en equipos con IP dinamicas, por lo que
la eventual solucion es momentanea. Que pasara luego con el nuevo equipo
conectado a esa IP? Y con la nueva IP?
+ Eso te lleva a desperdiciar recursos en mantener listas inutiles (ver
anterior)
>
> Mi pregunta es si ¿hay razones para tener el demonio sshd funcionando
> sin ser levantado por xinetd?
Supongo que recibiras razones para uno u otro metodo. Mi consejo?
+ Usa el ssh como servicio separado.
+ Usa puerto diferente al 22.
+ Limita el acceso a grupos y/o usuarios.
+ No uses acceso por contraseñas: reemplazalo por intercambio de llaves.
+ De ser posible, manten un filtro en tu firewall para IPs/dominios
permitidos.
+ Lee a fondo y hasta entenderlo man sshd_config.
>
>
- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: ricardoeureka@gmail.com - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
iD8DBQFEBFp7kw12RhFuGy4RAoOwAJ9nGdELmlfAVTeEUkxXViCo0oEEggCgkC/r
54ExUWqbG6QbLIUQ/FISP8Q=
=r4eT
-----END PGP SIGNATURE-----
Reply to: