El 30/05/05, Aquiles escribió:

...

Tengo un servidor con el ssh operativo y abierto y estoy hasta el gorro de ver como en los logs aparecen los tipicos escaneos de usuarios

May 29 07:01:18 servidor sshd[19118]: Failed password for illegal user carol from ::ffff:81.16.98.49 port 40491 ssh2 May 29 07:01:19 servidor sshd[19119]: Failed password for illegal user cesar from ::ffff:81.16.98.49 port 40552 ssh2 May 29 07:01:20 servidor sshd[19120]: Failed password for illegal user clark from ......

Recuerdo haber leido algo en esta lista sobre como evitar esto, pero no encuentro las soluciones que se dieron.

* 1) Configurar el servicio de manera más segura; dale un repaso a las man y a los ficheros de configuración.

Buscando en la lista he visto unos cuantos parametros, * En /etc/ssh/sshd_config tambien valdra. LoginGraceTime 5 MaxAuthTries 2 # <-- dependiente de version MaxStartups 1:5:20

* 2) Crear un script que te lea los logs y vaya incluyendo las IPs de los ilegales en una blacklist.

...

Alguien sabe como eliminar esto?

* Repasa el histórico; hay hilos interesantes al respecto.

En el mismo mensaje de la lista he visto esto que la verdad no se que hace exactamente: iptables -A FORWARD -m recent --name mamonssh --rcheck --seconds 60 -j DROP iptables -A FORWARD -p tcp -i eth0 --dport 22 -m recent --name mamonssh \ --set -j DROP a ver si funciona.

-- ¡Share your knowledge!

Linux user id 332494 # http://counter.li.org/ PGP id 0xC5ABA76A # http://pgp.mit.edu/