[ubuntu-ar] [OT] ssh

[Nicolas Demarchi]

-----Mensaje original-----
De: ubuntu-ar-bounces en lists.ubuntu.com [mailto:ubuntu-ar-bounces en lists.ubuntu.com] En nombre de Jorge Hequera
Enviado el: viernes, 18 de marzo de 2011 13:01
Para: Ubuntu User Group Argentina
Asunto: Re: [ubuntu-ar] [OT] ssh

El día 18 de marzo de 2011 12:40, Pablo <pablocarrai en gmail.com> escribió:
> Gente disculpen el ot de este mail pero no estoy del todo seguro a que lista
> me tengo que dirigir para una consulta como esta. Y aprovechando que hay
> gente que administra sistemas. En una de esas alguno me puede ayudar. Tengo
> un servidor con ssh corriendo normalmente. Y viendo algunos log sobre
> accesos al servidor ssh me encuentro con muchos intentos de accesos al
> servidor en donde aparecen nombres de usuarios diferentes, la dirección de
> ip es la misma. Y la diferencia entre un intento de conexión y el otro es
> cuestión de segundos. Uno viendo algo así parecería ser un intento de
> ingreso a fuerza bruta. Por eso ahora viene mi pregunta. Hay algún paquete o
> alguna linea de configuración para el ssh que me permita bloquear por ip a
> alguien que intenta varias veces acceder con diferente usuario desde la
> misma ip. Al menos que si luego de dos intentos desde una ip el servicio se
> bloquee para esa ip determinado tiempo.
>
> --
> Pablo
>
> --

Como dice guido fail2ban esta bien, tambien podes usar dennyhosts,
entre otras opciones.

Saludos.
--------

Bloquear la IP no me parece la mejor solución, porque mañana te atacan desde otra ip durante toda la noche ponele y la pegan y estás al horno.

tenes firewall??? Si no tenés deberias conigurarlo. Yo creo que la mejor opción es cambiar el puerto y después en el IPTABLES en la regla de INPUT le pones esto

" --state NEW -m recent ! --rcheck --seconds 60 --hitcount 5 --name sshBF --rsource"

esto hace que no te puedan hacer esas cosas, ademas acordate de no permitir el usuario root en ssh!

saludos.

gilgamezh