-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-01-22 a las 11:49 +0100, Josep M. Queralt escribió:
Por cierto, mucho cuidado con el ssh abierto al exterior, hay scripts por ahí bombardeando para tratar de encontrar password debiles en el ssh y entrar
Se trata de gusanos molestos pero no peligrosos (salvo que consigan su objetivo.) Mia eso es un "log" de ayer de uno de esos gusanos:
Claro, claro... pero eso como el chiste del tonto y los dos ladrillos, si aciertan nos j... [logs]
Fíjate que intenta la conexión como "root" cuando lo más lógico es que "root" no pueda hacer conexiones remotas :-)
Si, prueba una lista de usuarios habituales, y si cree que existen, lanza un ataque de tipo diccionario. Había un "agujero" en el sshd, que el tiempo de respuesta al login si el usuario existe o no era ligeramente distinto, y así detectaban los usuarios válidos para lanzar el ataque. Ese agujero ya está corregido, pero los scripts siguen ahí.
Merece la pena permitir la entrada sólo con pareja de llaves, y quizás alguna estrategia para bloquear las IPs de imbéciles bombardeantes.
La pareja de llaves es una buena solución si se prohibe el acceso por password.
A eso me refiero.
Lo de bloquear las IPs es perder el tiempo. Normalmente se trata de maquinas "zombies" con IPs dinámicas conectadas las 24 h. por ADSL o por cable, cuyos propietarios no tienen ni la más mínima idea de lo que hace su ordenador (ni de como funciona)
Ya, ya. Pero el bloqueo también puede ser dinámico. Yo estoy usando esto en "/etc/sysconfig/scripts/SuSEfirewall2-custom", que publicó uno en la lista de seguridad: fw_custom_before_antispoofing() { #Cer 2051225 - de un correo en suse-security # Blocking ssh attacks iptables -A INPUT -p tcp --syn --dport 22 -m recent --name sshattack --set iptables -A INPUT -p tcp --dport 22 --syn -m recent --name sshattack --update --seconds 60 --hitcount 6 -j LOG --log-prefix 'SSH attack: ' iptables -A INPUT -p tcp --dport 22 --syn -m recent --name sshattack --update --seconds 60 --hitcount 6 -j REJECT # This will block all further syns from an IP address starting on the # sixth port 22 connection within 60 seconds. It takes 60 seconds of # absolute quiet from that same ip address (or a reboot) to make the # block go away. Kills a LOT of brute force ssh attacks. I've also # used this both against web statistics spammers and email DOSers with # good results. true } No se si debiera usar DROP en vez de REJECT :-? Lo que hace es bloquear la IP a partir del sexto intento de conexión al puerto 22; a partir de ese momento necesita un minuto de silencio desde esa IP antes de borrar el bloqueo.
Digo "normalmente" porque no parece ser precisamente el caso del ejemplo. :-)
No, una vez que detectan un linux por ahí lo masacran a intentos hasta entrar o darlo por imposible. Los ordenadores son pacientes, el script seguirá dale que te pego. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFD03vntTMYHG2NR9URAh97AJ0RHJMqUh57x7TweYvVPrSthcJn7gCfewQK mjKdPuiL+1SV/of1bNoL7Z4= =K+PJ -----END PGP SIGNATURE-----