Re: Por detras????

To: debian-user-spanish@lists.debian.org
Subject: Re: Por detras????
From: Iñaki <ibc2@euskalnet.net>
Date: Tue, 20 Jun 2006 23:03:14 +0200
Message-id: <[🔎] 200606202303.14716.ibc2@euskalnet.net>
In-reply-to: <[🔎] 1db43f7f0606201248x77489d6cqa79f0b0b8e562ba@mail.gmail.com>
References: <[🔎] 1db43f7f0606201248x77489d6cqa79f0b0b8e562ba@mail.gmail.com>

El Martes, 20 de Junio de 2006 21:48, Ender escribió:
> Hola lista....
>
> Tengo un pequeño servidor de ftp (ProFTPD 1.2.10) y ssh, con el mldonkey...
> bueno, ya os podeis imaginar... ;) , con la version estable de debian.
>
> Bien, a veces me lo encuentro "congelado", no responde a pings ni nada.
> Total que lo vuelvo a reiniciar y santas pascuas, pero siempre le hecho un
> vistazo a el /var/log/auth.log, por si las moscas y siempre me encuentro
> con cosas como estas...
>
> Jun 18 08:10:05 Hosaka sshd[14787]: Illegal user staff from 80.49.140.71
> Jun 18 08:10:15 Hosaka sshd[14789]: Illegal user sales from 80.49.140.71

Esto es super habitual. Todos los equipos con servidor SSH en el puerto 22 y 
IP pública reciben ese ataque constantemente, sin cesar. Seguramente también 
se intentan loguear como "Harry Pooter" y demás, ¿verdad?   :p

Soluciones:

- Claves muy fuertes.
En /etc/ssh/sshd_config:
- Cambiar el puerto 22 por otro no estándar.
- Impedir el acceso como root (PermitRootLogin = no).
- Permitir sólo acceso SSH a ciertos usuarios.
- En /etc/pam.d/ssh añadir:
  # Acceso por SSH a usuarios restringidos:
  auth   required  pam_listfile.so sense=allow onerr=fail item=user  \    
     file=/etc/ssh/ssh-users
y crear el fichero /etc/ssh/ssh-users que contenga:
    pepito
    juanito
(sólo se permite el acceso SSH a esos usuarios).
 


> ... por ejemplo ... Y siempre con esto...
>
> Jun 18 08:17:01 Hosaka CRON[14791]: (pam_unix) session opened for user root
> by (uid=0)
> Jun 18 08:17:01 Hosaka CRON[14791]: (pam_unix) session closed for user root
>
> Cosa que me mosquea un poco, pero no le doy mayor importancia por el tema
> CRON,

Eso es normal y es por lo que dices.


> y siempre dejo para lo ultimo el hechar un vistazo a las tareas de 
> CRON con el usuario root...
>
> Pero el motivo de este correo es que hoy me he topado con estas entradas en
> el log...
>
> Jun 20 06:25:02 Hosaka su[15441]: + ??? root:nobody
> Jun 20 06:25:02 Hosaka su[15441]: (pam_unix) session opened for user nobody
> by (uid=0)

Esto ya no sé a que achacarlo. Puede que el propio root o un servicio en su 
nombre comience un proceso con el usuario nobody por la razón que fuere. No 
estoy seguro.



-- 
Por el bien de todos respetemos las normas de la lista:
  http://wiki.debian.org/NormasLista

Reply to:

Follow-Ups:
- Intrusion? (pam_unix) session opened for user nobody by (uid=0)
  - From: Damián Viano <debian@damianv.com.ar>
- Re: Por detras????
  - From: Romo <romo.le@gmail.com>

References:
- Por detras????
  - From: Ender <endernow@gmail.com>

Prev by Date: Re: OT: buscando ...
Next by Date: Re: openoffice
Previous by thread: Re: He sufrido una intrusion?
Next by thread: Intrusion? (pam_unix) session opened for user nobody by (uid=0)
Index(es):
- Date
- Thread