El jue, 13-10-2011 a las 12:28 -0300, juan sabino escribió: > Estimados: > Para mi la mejor manera de solucionar esto es ponerse paranoico y generar > "una clave de scaneo de apertura de puerto" > el ejemplo seria el siguiente consutar el puerto 34 luego el puerto 70 , > luego el puerto 72 y leugo puerto 73 , con esta secuencia > de escaneo se abriria el puerto 22 por 5 segundos y luego se cierra. > (bloqueando conexiones Nuevas, y solo dejar pasar conexiones establecidas). > port knocking, buenísimo. Hay un paquete llamado knockd si mal no recuerdo. saludos epe
> /sbin/iptables -N INTO-PHASE2 > /sbin/iptables -A INTO-PHASE2 -m recent --name PHASE1 --remove > /sbin/iptables -A INTO-PHASE2 -m recent --name PHASE2 --set > /sbin/iptables -A INTO-PHASE2 -j LOG --log-prefix "INTO PHASE2: " > > /sbin/iptables -N INTO-PHASE3 > /sbin/iptables -A INTO-PHASE3 -m recent --name PHASE2 --remove > /sbin/iptables -A INTO-PHASE3 -m recent --name PHASE3 --set > /sbin/iptables -A INTO-PHASE3 -j LOG --log-prefix "INTO PHASE3: " > > /sbin/iptables -N INTO-PHASE4 > /sbin/iptables -A INTO-PHASE4 -m recent --name PHASE3 --remove > /sbin/iptables -A INTO-PHASE4 -m recent --name PHASE4 --set > /sbin/iptables -A INTO-PHASE4 -j LOG --log-prefix "INTO PHASE4: " > > /sbin/iptables -A INPUT -m recent --update --name PHASE1 > > /sbin/iptables -A INPUT -p tcp --dport 34 -m recent --set --name PHASE1 > /sbin/iptables -A INPUT -p tcp --dport 70 -m recent --rcheck --name PHASE1 > -j INTO-PHASE2 > /sbin/iptables -A INPUT -p tcp --dport 72 -m recent --rcheck --name PHASE2 > -j INTO-PHASE3 > /sbin/iptables -A INPUT -p tcp --dport 73 -m recent --rcheck --name PHASE3 > -j INTO-PHASE4 > > iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 5 --name > PHASE4 -j ACCEPT > iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j DROP > > > 2011/10/13 Yoinier Hernandez Nieves <ynie...@lt.datazucar.cu> > > > El 13/10/11 10:21, Jesús Rivas escribió: > > > Creo que cambiando el puerto ssh no es una solucion, pues te dan un port > > > scan y dan con los puertos abiertos y empiezan el ataque, si no es asi, > > > pues no tengo problemas en cambiar el puerto. > > > > > > Lo que comentas de quitar el acceso a root al ssh ya lo hice, asi como > > > limitar el numero de intentos y el tiempo para logearse. > > > > > > Creo que no puedo moverle para que solo unas ip entren al servidor por > > > ssh ya que tengo ip dinamicas para entrar al servidor, aunque si se > > > puede agradeceria la aportacion. > > > > > > > > > El 12/10/2011 09:01, César CRUZ ARRUNATEGUI escribió: > > >> cambia el puerto de ssh > > >> > > >> César D. Cruz Arrunátegui > > >> > > >> > > >> ----- Mensaje original ----- > > >> De: "Jesús Rivas"<je...@evangelizacion.org.mx> > > >> Para: centos-es@centos.org > > >> Enviados: Martes, 11 de Octubre 2011 10:53:18 GMT -05:00 Colombia > > >> Asunto: [CentOS-es] Intento de Hackeo > > >> > > >> Hola gente, tenemos un servidor con centos 5 y en el log secure veo > > >> intentos de acceso por ssh muy seguramente un script (checando la IP > > >> google dice que es alguien de beijing). > > >> > > >> Primero agregue la ip a hosts.deny pero luego me di cuenta que la ip > > >> cambio y siguio cambiando, entonces no veo el caso de estar agregando > > >> las ip al hosts.deny > > >> > > >> Luego cerre el acceso por ssh a root que bueno gloogeando me tope que es > > >> una buena practica de seguridad, asi como tambien limitar el numero de > > >> intentos el tiempo para poner la contraseña y ahi de ratos veo en el log > > >> intentos de acceso por ahi, pero pues por ahi ya no podra entrar. > > >> > > >> ¿Alguna otra recomendacio que me puedan dar para evitar esto? > > >> _______________________________________________ > > >> CentOS-es mailing list > > >> CentOS-es@centos.org > > >> http://lists.centos.org/mailman/listinfo/centos-es > > >> > > >> > > > > > > > cuando te refieres a IP dinamicas, tu ISP no te da cualquier IP, sino > > algun IP de los bloques que le fueron asignados, lo que puedes hacer es > > averiguar los rangos IP de tu proveedor, y solo permites esos IP, con > > eso limitas bastante las IP que puedan acceder a tu SSH. > > > > Yo. > > -- > > Yoinier Hernández Nieves. > > Administrador de Redes. > > División ZETI > > Nodo Provincial Datazucar Las Tunas. > > > > > > _______________________________________________ > > CentOS-es mailing list > > CentOS-es@centos.org > > http://lists.centos.org/mailman/listinfo/centos-es > > > > > _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
