El dom, 09-04-2006 a las 13:16 +0200, Pablo Braulio escribió: > El Domingo, 9 de Abril de 2006 12:25, Ramiro Aceves escribió: > > Hola, > > > > Yo también me apunto, a mí también me están intentando entrar por ssh y > > voy a ponerles una regla en iptables. Creo que llegó la hora de > > aprenderlo ya. Aunque puede estar probando claves que no va a acertar ;-) > > > > Apr 9 12:19:48 localhost sshd[2614]: Illegal user ronald from > > > > ::ffff:211.18.254.236 > > > > Apr 9 12:19:51 localhost sshd[2616]: Illegal user ronald from > > > > ::ffff:211.18.254.236 > > > > Apr 9 12:19:53 localhost sshd[2619]: Illegal user ronald from > > > > ::ffff:211.18.254.236 > > > > Apr 9 12:19:56 localhost sshd[2621]: Illegal user dujoey from > > > > ::ffff:211.18.254.236 > > > > Apr 9 12:19:58 localhost sshd[2624]: Illegal user dujoey from > > > > ::ffff:211.18.254.236 > > > > Apr 9 12:20:01 localhost sshd[2626]: Illegal user dujoey from > > > > ::ffff:211.18.254.236 > > > > Apr 9 12:20:04 localhost sshd[2628]: Illegal user paul from > > > > ::ffff:211.18.254.236 > > > > Apr 9 12:20:06 localhost sshd[2630]: Illegal user paul from > > > > ::ffff:211.18.254.236 > > > > Apr 9 12:20:09 localhost sshd[2632]: Illegal user paul from > > > > ::ffff:211.18.254.236 > > > > Saludos. > > Ramiro. > > > Hola Ramiro. > > Aquí el consejo de sabios, je,je. Es broma. :-D > > En mi opinión deberías hacer dos cosas: > Asegurar ssh (como ya te han dicho) > y configurar tu firewall para evitar escaneos, bloquear ips, etc. > > Lo que te está ocurriendo es un ataque por fuerza bruta contra tu servidor > ssh. Aquí tienes información: > > http://www.whitedust.net/article/27/Recent%20SSH%20Brute-Force%20Attacks/ > > Aunque si buscas en google verás que hay información sobre esto. > > http://www.google.es/search?sourceid=navclient-ff&ie=UTF-8&rls=GGGL,GGGL:2005-09,GGGL:es&q=ssh+fuerza+bruta > > Para asegurar ssh yo te aconsejo que cambies el puerto de escucha (por defecto > 22), deshabilites el acceso a root y uses claves en lugar de password. > > Para eso en el archivo /etc/ssh/sshd_config modifica lo siguiente: > > Port XX (pones el puerto que quieras) > > PermitRootLogin no (para evitar logeos de root) > > RSAAuthentication yes > PubkeyAuthentication yes > AuthorizedKeysFile %h/.ssh/authorized_keys > > PasswordAuthentication no (para deshabilitar el logeo con password) > > Creo que no me dejo nada. > > Para deshabilitar el logeo de los clientes por medio de una contraseña, debes > crear una clave en cada cliente que accede al servidor y luego copiarla en > este. > > Para eso haces en el cliente: > > $ssh-keygen -t rsa -b 1024 (creo que es así, mira el man) > > Eso te crea un archivo id_rsa.pub (tu clave pública), que debes añadir/copiar > el contenido de este en el path de tu servidor /home/usuario.ssh/know_hosts > > Esto lo que hace es que sólo permitirá el acceso por ssh de ese usuario al > equipo que tenga esa clave, sin permitir poner la contraseña a aquellos > equipos que no disponen de esta. > > Si creas la clave sin contraseña, podrás entrar directamente, y no es un fallo > de seguridad. > > Con todo esto lo que haces e ocultar tu servicio ssh al exterior y evitar que > cualquiera pueda estar probando usuarios y contraseñas, que es lo que te está > ocurriendo. > > Respecto al firewall. Siempre es interesante, por no decir imprescindible, > usarlo. Te aconsejo que mires el manual que han puesto, y lo configures para > bloquear las ips que te tocan las narices y bloquees escaneos de redes. Entre > otras cosas, claro. > > Yo tengo un script, que encontré hace tiempo, que usa mysql para almacenar > intentos de acceso y luego crear la regla de iptables necesaria para bloquear > esa ip. Si quieres te lo puedo pasar, pero a mi personalmente no me parece > demasiado útil bloquear ips, pues estas en muchos casos son dinámicas. > > Por último, como dijo nosequien, la mejor defensa es un buen ataque. Usa nmap > para ver los puertos de este individuo y podrás ver que tiene ssh abierto, y > curiosamente no ha aplicado ninguna seguridad. Podrías hacer lo mismo que él > esta haciendo. > > Que tengas suerte. > > -- > Saludos. > Pablo > ------------ > Jabber: bruli(at)myjabber(to)net > Fingerprint: 944D 10DA 4C10 08D1 574D 4B48 3BC1 CEF7 F222 EB1D Hola, Debo añadir (si no lo han dicho ya por que no he seguido todo el hilo... solo he leído esta respuesta ya que ha sido muy reconocida) debo añadir decía, por tanto... que se use FAIL2BAN para poder banear intentos de conexiones maliciosas por fuerza bruta, esto es... al 3er intento por ejemplo o al número de logueo equis, capar esa dirección ip durante 30 minutos, 30 días, 3 años o para siempre en cualquiera de los puertos de nuestro ordenador. Y será muy dificil que con 4 intentos por ejemplo, acierten una clave de seguridad media o alta. (Que nadie me ponga god, zero_curl the_mentor o similares xD). Esto nos es util tanto para ftp, como ssh telnet etc...se necesita tener instalado python 2.3 o superior y log4py que te lo ajas de sourceforge. Recomiendo efectivamente cambiar el puerto del ssh, y en el router/firewall o directamente el servicio de ssh, tenerlo siempre cerrado o inaccesible si se puede, durante las horas en las que estás seguro que jamás te vas a conectar o por lo menos, mientras no lo necesites (a parte que te ahorras tener un servicio consumiendo recursos, te evitas la tentativa). Si alguien necesita mas ayuda, que me lo diga. Muchas gracias y un saludo. Víctor.
Attachment:
signature.asc
Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente