Hola Iñaki... decías, el 20-jun-2006 [11:03 +0200]: > El Martes, 20 de Junio de 2006 21:48, Ender escribió: > > Hola lista.... > > > > Tengo un pequeño servidor de ftp (ProFTPD 1.2.10) y ssh, con el mldonkey... > > bueno, ya os podeis imaginar... ;) , con la version estable de debian. > > > > Bien, a veces me lo encuentro "congelado", no responde a pings ni nada. > > Total que lo vuelvo a reiniciar y santas pascuas, pero siempre le hecho un > > vistazo a el /var/log/auth.log, por si las moscas y siempre me encuentro > > con cosas como estas... > > > > Jun 18 08:10:05 Hosaka sshd[14787]: Illegal user staff from 80.49.140.71 > > Jun 18 08:10:15 Hosaka sshd[14789]: Illegal user sales from 80.49.140.71 > > Esto es super habitual. Todos los equipos con servidor SSH en el puerto 22 y > IP pública reciben ese ataque constantemente, sin cesar. Seguramente también > se intentan loguear como "Harry Pooter" y demás, ¿verdad? :p > > Soluciones: > > - Claves muy fuertes. > En /etc/ssh/sshd_config: > - Cambiar el puerto 22 por otro no estándar. > - Impedir el acceso como root (PermitRootLogin = no). > - Permitir sólo acceso SSH a ciertos usuarios. > - En /etc/pam.d/ssh añadir: > # Acceso por SSH a usuarios restringidos: > auth required pam_listfile.so sense=allow onerr=fail item=user \ > file=/etc/ssh/ssh-users > y crear el fichero /etc/ssh/ssh-users que contenga: > pepito > juanito > (sólo se permite el acceso SSH a esos usuarios). Ademas de lo que te comenta Iñaki, tambien.. ..en /etc/ssh/sshd_config puedes poner las reglas AllowUsers usuario_acceso_permitido AllowGroup grup_usuario_permitido Permitiendo asi el acceso a 1 o + (AllowUsers user1,user2,userN) O a un grupo de usuarios que ternenede a un grupo (AllowGroup grupoSSH) Pero lo 1º es cambiar el puerto de escucha del 22 a otro > > ... por ejemplo ... Y siempre con esto... > > > > Jun 18 08:17:01 Hosaka CRON[14791]: (pam_unix) session opened for user root > > by (uid=0) > > Jun 18 08:17:01 Hosaka CRON[14791]: (pam_unix) session closed for user root > > > > Cosa que me mosquea un poco, pero no le doy mayor importancia por el tema > > CRON, > > Eso es normal y es por lo que dices. > > > > y siempre dejo para lo ultimo el hechar un vistazo a las tareas de > > CRON con el usuario root... > > > > Pero el motivo de este correo es que hoy me he topado con estas entradas en > > el log... > > > > Jun 20 06:25:02 Hosaka su[15441]: + ??? root:nobody > > Jun 20 06:25:02 Hosaka su[15441]: (pam_unix) session opened for user nobody > > by (uid=0) > > Esto ya no sé a que achacarlo. Puede que el propio root o un servicio en su > nombre comience un proceso con el usuario nobody por la razón que fuere. No > estoy seguro. > > > > -- > Por el bien de todos respetemos las normas de la lista: > http://wiki.debian.org/NormasLista
Attachment:
signature.asc
Description: Digital signature