El Domingo, 9 de Abril de 2006 12:25, Ramiro Aceves escribió: > Hola, > > Yo también me apunto, a mí también me están intentando entrar por ssh y > voy a ponerles una regla en iptables. Creo que llegó la hora de > aprenderlo ya. Aunque puede estar probando claves que no va a acertar ;-) > > Apr 9 12:19:48 localhost sshd[2614]: Illegal user ronald from > > ::ffff:211.18.254.236 > > Apr 9 12:19:51 localhost sshd[2616]: Illegal user ronald from > > ::ffff:211.18.254.236 > > Apr 9 12:19:53 localhost sshd[2619]: Illegal user ronald from > > ::ffff:211.18.254.236 > > Apr 9 12:19:56 localhost sshd[2621]: Illegal user dujoey from > > ::ffff:211.18.254.236 > > Apr 9 12:19:58 localhost sshd[2624]: Illegal user dujoey from > > ::ffff:211.18.254.236 > > Apr 9 12:20:01 localhost sshd[2626]: Illegal user dujoey from > > ::ffff:211.18.254.236 > > Apr 9 12:20:04 localhost sshd[2628]: Illegal user paul from > > ::ffff:211.18.254.236 > > Apr 9 12:20:06 localhost sshd[2630]: Illegal user paul from > > ::ffff:211.18.254.236 > > Apr 9 12:20:09 localhost sshd[2632]: Illegal user paul from > > ::ffff:211.18.254.236 > > Saludos. > Ramiro.
Hola Ramiro. Aquí el consejo de sabios, je,je. Es broma. :-D En mi opinión deberías hacer dos cosas: Asegurar ssh (como ya te han dicho) y configurar tu firewall para evitar escaneos, bloquear ips, etc. Lo que te está ocurriendo es un ataque por fuerza bruta contra tu servidor ssh. Aquí tienes información: http://www.whitedust.net/article/27/Recent%20SSH%20Brute-Force%20Attacks/ Aunque si buscas en google verás que hay información sobre esto. http://www.google.es/search?sourceid=navclient-ff&ie=UTF-8&rls=GGGL,GGGL:2005-09,GGGL:es&q=ssh+fuerza+bruta Para asegurar ssh yo te aconsejo que cambies el puerto de escucha (por defecto 22), deshabilites el acceso a root y uses claves en lugar de password. Para eso en el archivo /etc/ssh/sshd_config modifica lo siguiente: Port XX (pones el puerto que quieras) PermitRootLogin no (para evitar logeos de root) RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile %h/.ssh/authorized_keys PasswordAuthentication no (para deshabilitar el logeo con password) Creo que no me dejo nada. Para deshabilitar el logeo de los clientes por medio de una contraseña, debes crear una clave en cada cliente que accede al servidor y luego copiarla en este. Para eso haces en el cliente: $ssh-keygen -t rsa -b 1024 (creo que es así, mira el man) Eso te crea un archivo id_rsa.pub (tu clave pública), que debes añadir/copiar el contenido de este en el path de tu servidor /home/usuario.ssh/know_hosts Esto lo que hace es que sólo permitirá el acceso por ssh de ese usuario al equipo que tenga esa clave, sin permitir poner la contraseña a aquellos equipos que no disponen de esta. Si creas la clave sin contraseña, podrás entrar directamente, y no es un fallo de seguridad. Con todo esto lo que haces e ocultar tu servicio ssh al exterior y evitar que cualquiera pueda estar probando usuarios y contraseñas, que es lo que te está ocurriendo. Respecto al firewall. Siempre es interesante, por no decir imprescindible, usarlo. Te aconsejo que mires el manual que han puesto, y lo configures para bloquear las ips que te tocan las narices y bloquees escaneos de redes. Entre otras cosas, claro. Yo tengo un script, que encontré hace tiempo, que usa mysql para almacenar intentos de acceso y luego crear la regla de iptables necesaria para bloquear esa ip. Si quieres te lo puedo pasar, pero a mi personalmente no me parece demasiado útil bloquear ips, pues estas en muchos casos son dinámicas. Por último, como dijo nosequien, la mejor defensa es un buen ataque. Usa nmap para ver los puertos de este individuo y podrás ver que tiene ssh abierto, y curiosamente no ha aplicado ninguna seguridad. Podrías hacer lo mismo que él esta haciendo. Que tengas suerte. -- Saludos. Pablo ------------ Jabber: bruli(at)myjabber(to)net Fingerprint: 944D 10DA 4C10 08D1 574D 4B48 3BC1 CEF7 F222 EB1D
pgpBfbjjYTzzO.pgp
Description: PGP signature
