hola, quería saber si alguien me puede ayudar, tengo montado un servidor, y en el tengo el apache y el ssh para administración remota, y en el ssh tengo muchos intentos de login, como puedo hacer para crear una regla con el iptables o otra cosas, que cuando una ip se intente conectarse e ingrese 3 veces mal el pass quede bloqueada un par de minutos? para que no sigan intentándose conectarse? gracias Damián
El Martes, 25 de Abril de 2006 07:53, suse escribió:
hola, quería saber si alguien me puede ayudar, tengo montado un servidor, y en el tengo el apache y el ssh para administración remota, y en el ssh tengo muchos intentos de login, como puedo hacer para crear una regla con el iptables o otra cosas, que cuando una ip se intente conectarse e ingrese 3 veces mal el pass quede bloqueada un par de minutos? para que no sigan intentándose conectarse?
gracias
Damián
Mas sencillo que eso es asegurar correctamente el servidor ssh. Cambiar el puerto de escucha, no permitir accesos a root, usar claves, etc. -- Saludos. Pablo ------------ Jabber: bruli(at)myjabber(to)net Fingerprint: 944D 10DA 4C10 08D1 574D 4B48 3BC1 CEF7 F222 EB1D
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-04-25 a las 02:53 -0300, suse escribió:
hola, quería saber si alguien me puede ayudar, tengo montado un servidor, y en el tengo el apache y el ssh para administración remota, y en el ssh tengo muchos intentos de login, como puedo hacer para crear una regla con el iptables o otra cosas, que cuando una ip se intente conectarse e ingrese 3 veces mal el pass quede bloqueada un par de minutos? para que no sigan intentándose conectarse?
Para el ssh, esto; salió en la lista de seguridad hace tiempo: Edita /etc/sysconfig/scripts/SuSEfirewall2-custom; busca la funcion "fw_custom_before_antispoofing()" cerca delprincipio. Inserta esto: fw_custom_before_antispoofing() { # Blocking ssh attacks iptables -A INPUT -p tcp --syn --dport 22 -m recent --name sshattack --set iptables -A INPUT -p tcp --dport 22 --syn -m recent --name sshattack --update --seconds 60 --hitcount 6 -j LOG --log-prefix 'SSH attack: ' iptables -A INPUT -p tcp --dport 22 --syn -m recent --name sshattack --update --seconds 60 --hitcount 6 -j REJECT true } Recarga el cortafuegos con "SuSEfirewall2": nimrodel:/etc/sysconfig/scripts # SuSEfirewall2 SuSEfirewall2: Warning: ip6tables does not support state matching. Extended IPv6 support disabled. SuSEfirewall2: Setting up rules from /etc/sysconfig/SuSEfirewall2 ... SuSEfirewall2: Firewall customary rules loaded from /etc/sysconfig/scripts/SuSEfirewall2-custom SuSEfirewall2: Firewall rules successfully set nimrodel:/etc/sysconfig/scripts # Lo que hace es cortar a partir del sexto intento de conexión (syn) en un minuto; si quieres, lo cambias. El resultado es como esto: Dec 26 01:46:15 nimrodel kernel: SSH attack: IN=eth0 OUT= MAC=00:40:f4:2e:b1:21:00:30:84:0a:8b:f5:08:00 SRC=192.168.100.1 DST=192.168.100.2 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=50094 DF PROTO=TCP SPT=1048 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 Para el apache no valdría tal cual, porque se hacen multiples conexiones para bajar las páginas normalmente. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFETfOGtTMYHG2NR9URAhhhAJwOL7PNitu2eWldOM9RpC64Kxp8qQCgkHeA G47Ewj4Jf1JIYll/Fz0DWSI= =iC5j -----END PGP SIGNATURE-----
El 2006-04-25 a las 02:53 -0300, suse escribió:
hola, quería saber si alguien me puede ayudar, tengo montado un servidor, y en el tengo el apache y el ssh para administración remota, y en el ssh tengo muchos intentos de login, como puedo hacer para crear una regla con el iptables o otra cosas, que cuando una ip se intente conectarse e ingrese 3 veces mal el pass quede bloqueada un par de minutos? para que no sigan intentándose conectarse?
* Eso depende de la aplicación no del protocolo de conexion, conjuga a tu conveniencia las opciones: MaxAuthTries LoginGraceTime MaxStartups * Busca e instala el paquete denyhosts, esto te incluira las ips denegadas en /etc/host.deny con lo cual ademas las aplicaciones que soporten tcp-wrappers podran beneficiarse, tiene una configuracion bastante granular en cuanto a tiempos de expiración, etc. * Aparte puedes hacer chroot de los usuarios mediante compartm o chroot-ssh, para incrementar la seguridad.
participants (4)
-
Carlos E. R.
-
jose maria
-
Pablo Braulio
-
suse