El Domingo, 9 de Abril de 2006 13:16, Pablo Braulio escribió: > El Domingo, 9 de Abril de 2006 12:25, Ramiro Aceves escribió: > Hola Ramiro. > > Aquí el consejo de sabios, je,je. Es broma. :-D > > En mi opinión deberías hacer dos cosas: > Asegurar ssh (como ya te han dicho) > y configurar tu firewall para evitar escaneos, bloquear ips, etc. > > Lo que te está ocurriendo es un ataque por fuerza bruta contra tu servidor > ssh. Aquí tienes información: > > http://www.whitedust.net/article/27/Recent%20SSH%20Brute-Force%20Attacks/ > > Aunque si buscas en google verás que hay información sobre esto. > > http://www.google.es/search?sourceid=navclient-ff&ie=UTF-8&rls=GGGL,GGGL:20 >05-09,GGGL:es&q=ssh+fuerza+bruta > > Para asegurar ssh yo te aconsejo que cambies el puerto de escucha (por > defecto 22), deshabilites el acceso a root y uses claves en lugar de > password. > > Para eso en el archivo /etc/ssh/sshd_config modifica lo siguiente: > > Port XX (pones el puerto que quieras) > > PermitRootLogin no (para evitar logeos de root) > > RSAAuthentication yes > PubkeyAuthentication yes > AuthorizedKeysFile %h/.ssh/authorized_keys > > PasswordAuthentication no (para deshabilitar el logeo con password) > > Creo que no me dejo nada. > > Para deshabilitar el logeo de los clientes por medio de una contraseña, > debes crear una clave en cada cliente que accede al servidor y luego > copiarla en este. > > Para eso haces en el cliente: > > $ssh-keygen -t rsa -b 1024 (creo que es así, mira el man) > > Eso te crea un archivo id_rsa.pub (tu clave pública), que debes > añadir/copiar el contenido de este en el path de tu servidor > /home/usuario.ssh/know_hosts > > Esto lo que hace es que sólo permitirá el acceso por ssh de ese usuario al > equipo que tenga esa clave, sin permitir poner la contraseña a aquellos > equipos que no disponen de esta. > > Si creas la clave sin contraseña, podrás entrar directamente, y no es un > fallo de seguridad. > > Con todo esto lo que haces e ocultar tu servicio ssh al exterior y evitar > que cualquiera pueda estar probando usuarios y contraseñas, que es lo que > te está ocurriendo. > > Respecto al firewall. Siempre es interesante, por no decir imprescindible, > usarlo. Te aconsejo que mires el manual que han puesto, y lo configures > para bloquear las ips que te tocan las narices y bloquees escaneos de > redes. Entre otras cosas, claro. > > Yo tengo un script, que encontré hace tiempo, que usa mysql para almacenar > intentos de acceso y luego crear la regla de iptables necesaria para > bloquear esa ip. Si quieres te lo puedo pasar, pero a mi personalmente no > me parece demasiado útil bloquear ips, pues estas en muchos casos son > dinámicas. > > Por último, como dijo nosequien, la mejor defensa es un buen ataque. Usa > nmap para ver los puertos de este individuo y podrás ver que tiene ssh > abierto, y curiosamente no ha aplicado ninguna seguridad. Podrías hacer lo > mismo que él esta haciendo. > > Que tengas suerte.
Pablo, gracias por estas interesantísimas pautas de seguridad. Sólo quería añadir que para el tema de exportar la clave se puede usar el comando "ssh-copy-id" que te evita andar copiando de un sitio a otro y demás, alguna vez lo he usado y te ahorra tiempo. Y ya puestos comento que a mí también me están intentando entrar mediante un script cada 3 segundos con curiosos nombres como "harrypotter" y demás. La IP es la siguiente: 66.226.74.83 ¿Alguien puede comprobar si le están intentando entrar desde esa IP? -- y hasta aquí puedo leer...
