-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Ramiro Aceves wrote: > Hola Pablo > Voy a hacerte caso y cambiaré el puerto al XX. Claro que si este intruso > hace un escaneo de puertos aparecerá ssh escuchando en XX y no > adelantaré nada. ¿O se me escapa algo? No. Al hacer escaneo de puertos, aparecera el servicio que el tenga asociado a ese puerto, si es que tiene alguno, caso contrario aparecera "unknown". En todo caso, si desea fervientemente atacarte, hara un telnet tu_host tu_puerto y alli se enterara que es ssh. Pero si no tienes acceso por contraseña, ni ninguna vulnerabilidad, tendra que trabajar realmente mucho para entrar. Por cierto, salvo que seas el FBI o tengas la BBDD de Visa de todo el planeta, dudo que alguien dedique 5 segundos a esto. De hecho, los intetnso que registras en tus logs no son de "personas" sino de gusanitos o programitas que se dedican a eso....solo para encontrar a desprevenidos.
>> Si creas la clave sin contraseña, podrás entrar directamente, y no es >> un fallo de seguridad. Hay gente que opina que si lo es, que aun asi, debieras poner contraseña para las llaves y tiene su logica. Claro que hablamos de servidores en los cuales la seguridad es algo realmente serio. >> Con todo esto lo que haces e ocultar tu servicio ssh al exterior y >> evitar que cualquiera pueda estar probando usuarios y contraseñas, que >> es lo que te está ocurriendo. En realidad no lo ocultas, pues sigue estando a la vista de todos. Solo se lo haces mas dificil a los gusanejos. > Respecto a la necesitdad del firewall, me dí cuenta de ello en el > momento que estaba observando el ataque. El servidor ssh está en la > Universidad y estoy entrando desde mi casa. Al hacer cat > /var/log/auth.log aparecían todos los intentos logeados de adivinar la > clave. En ese momento me acordé del único firewall que uso en mi casa: > Firestarter, pero claro, es en modo gráfico. Firestarter, es un front end grafico que finalmente te configura....iptables! >Como no es plan de > habilitar las conexiones X con el servidor ssh y añadir más > inseguridades, creo que ha llegado la hora de aprender iptables a pedal. > En ese momento quería inhabilitar los paquetes procedentes de esa IP y > fastidiar al hombre este pero claro, no tengo ni idea. # route add reject ip_molesta pero con eso solo logras hacerlo momentanemante, esa gente, por lo gral, usa ip dinamicas. > Si deshabilito > ssh me cierro a mí mismo la posibilidad de entrar hasta el lunes que > vaya por allí y encienda de nuevo la máquina. Me conecté a la IP con un > navegador y era una WEB en chino. ¿Hay alguna manera de echar a este > hombre sin iptables. Arriba te mande una. > Me dió miedo matar alguno de los procesos de sshd, > no fuera a ser que me fastidiase a mi mismo. juaz! Suicidio virtual! >> Por último, como dijo nosequien, la mejor defensa es un buen ataque. >> Usa nmap para ver los puertos de este individuo y podrás ver que tiene >> ssh abierto, y curiosamente no ha aplicado ninguna seguridad. Podrías >> hacer lo mismo que él esta haciendo. Eso si que es inutil! - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFEOlQGkw12RhFuGy4RAk/DAJ9dvOYifGsBwtRGI+d3/flBdNKdmgCfX4cs o1IckuVL1igZh0xXXd95cio= =VrDv -----END PGP SIGNATURE-----
