Re: Intento de intrusión
El Domingo, 9 de Abril de 2006 13:16, Pablo Braulio escribió:
> El Domingo, 9 de Abril de 2006 12:25, Ramiro Aceves escribió:
> Hola Ramiro.
>
> Aquí el consejo de sabios, je,je. Es broma. :-D
>
> En mi opinión deberías hacer dos cosas:
> Asegurar ssh (como ya te han dicho)
> y configurar tu firewall para evitar escaneos, bloquear ips, etc.
>
> Lo que te está ocurriendo es un ataque por fuerza bruta contra tu servidor
> ssh. Aquí tienes información:
>
> http://www.whitedust.net/article/27/Recent%20SSH%20Brute-Force%20Attacks/
>
> Aunque si buscas en google verás que hay información sobre esto.
>
> http://www.google.es/search?sourceid=navclient-ff&ie=UTF-8&rls=GGGL,GGGL:20
>05-09,GGGL:es&q=ssh+fuerza+bruta
>
> Para asegurar ssh yo te aconsejo que cambies el puerto de escucha (por
> defecto 22), deshabilites el acceso a root y uses claves en lugar de
> password.
>
> Para eso en el archivo /etc/ssh/sshd_config modifica lo siguiente:
>
> Port XX (pones el puerto que quieras)
>
> PermitRootLogin no (para evitar logeos de root)
>
> RSAAuthentication yes
> PubkeyAuthentication yes
> AuthorizedKeysFile %h/.ssh/authorized_keys
>
> PasswordAuthentication no (para deshabilitar el logeo con password)
>
> Creo que no me dejo nada.
>
> Para deshabilitar el logeo de los clientes por medio de una contraseña,
> debes crear una clave en cada cliente que accede al servidor y luego
> copiarla en este.
>
> Para eso haces en el cliente:
>
> $ssh-keygen -t rsa -b 1024 (creo que es así, mira el man)
>
> Eso te crea un archivo id_rsa.pub (tu clave pública), que debes
> añadir/copiar el contenido de este en el path de tu servidor
> /home/usuario.ssh/know_hosts
>
> Esto lo que hace es que sólo permitirá el acceso por ssh de ese usuario al
> equipo que tenga esa clave, sin permitir poner la contraseña a aquellos
> equipos que no disponen de esta.
>
> Si creas la clave sin contraseña, podrás entrar directamente, y no es un
> fallo de seguridad.
>
> Con todo esto lo que haces e ocultar tu servicio ssh al exterior y evitar
> que cualquiera pueda estar probando usuarios y contraseñas, que es lo que
> te está ocurriendo.
>
> Respecto al firewall. Siempre es interesante, por no decir imprescindible,
> usarlo. Te aconsejo que mires el manual que han puesto, y lo configures
> para bloquear las ips que te tocan las narices y bloquees escaneos de
> redes. Entre otras cosas, claro.
>
> Yo tengo un script, que encontré hace tiempo, que usa mysql para almacenar
> intentos de acceso y luego crear la regla de iptables necesaria para
> bloquear esa ip. Si quieres te lo puedo pasar, pero a mi personalmente no
> me parece demasiado útil bloquear ips, pues estas en muchos casos son
> dinámicas.
>
> Por último, como dijo nosequien, la mejor defensa es un buen ataque. Usa
> nmap para ver los puertos de este individuo y podrás ver que tiene ssh
> abierto, y curiosamente no ha aplicado ninguna seguridad. Podrías hacer lo
> mismo que él esta haciendo.
>
> Que tengas suerte.
Pablo, gracias por estas interesantísimas pautas de seguridad. Sólo quería
añadir que para el tema de exportar la clave se puede usar el
comando "ssh-copy-id" que te evita andar copiando de un sitio a otro y demás,
alguna vez lo he usado y te ahorra tiempo.
Y ya puestos comento que a mí también me están intentando entrar mediante un
script cada 3 segundos con curiosos nombres como "harrypotter" y demás. La IP
es la siguiente:
66.226.74.83
¿Alguien puede comprobar si le están intentando entrar desde esa IP?
--
y hasta aquí puedo leer...
Reply to: