Bloquear ip con ssh.
Ricardo Frydman Eureka!
ricardoeureka en gmail.com
Vie Feb 24 15:54:01 GMT 2006
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Miguel P.C. wrote:
>
>
>>>>Deberías estar tranquilo. A mi me pasa lo mismo. De momento les
>>>>añado en el archivo de blacklist del shorewall y ya
>>>
>>>está.
>>>
>>>Eso sencillamente no tiene sentido. Las razones: - Quien intenta
>>>entrar por fuerza bruta /seguro/ usa IP dinamica, por lo que la
>>>"solucion" es de cortisimo plazo. - Mantener una lista larga de IPs
>>>es inutil (por lo visto) y consume muchos recursos. - Estaras
>>>bloqueando en el futuro a IP que ya no tienen nada que ver.
>
>
> Veo que te has saltado el 'de momento'.
> Es una mala solución, poco escalable e inmantenible, pero es mejor que
> no poner ninguna solución.
>
> Sobre lo de poner el ssh en otro puerto que no sea el 22, complicado.
Complicado?!
> Al puerto 22 me dejan salir desde mi lugar de trabajo pero a otros
> muchos no.
Se soluciona con port forwarding.
> Si pudiese salir a puertos arbitrarios usaria port-knocking:
>
> http://www.linuxjournal.com/article/6811
Eso no soluciona lo que el compañero pregunto.
>
> # apt-cache search knockd
> knockd - small port-knock daemon
>
> Sobre si se consumen muchos recursos de 20 a 50 lineas mas en el
> firewall perfiero no pronunciarme.
>
> La otra opción era la de DenyHosts:
no sirve si el host lo desconoces y/o es dinamico!
>
>
>>>>Para algo parecido, había visto lo siguiente:
>>>
>>>>http://www.howtoforge.com/preventing_ssh_dictionary_attacks_with_denyhosts
>>>>http://denyhosts.sourceforge.net/
>>>
>>>>Me pareció interesante pero no le he dedicado más que un par de
>>>>minutos como para saber de que va y poco más. Si te animas,
>>>>compártelo ¿vale?
>>>
> ¿La has probado?
No. No la he necesitado, afortunadamente.
> Un saludo.
>
> De momento solo has aportado la opción de cambiar el puerto donde
> escucha ssh.
No has leido todo el hilo, sino no dirias eso.
> No creo que sea mejor opcion que la mía de hacer una lista negra.
> Es solo mi opinión.
De eso no me caben dudas.
>
> Un saludo.
>
>
- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: ricardoeureka en gmail.com - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
iD8DBQFD/ywZkw12RhFuGy4RAta7AJ43k7qkq8M6qpiznU4EBsJqEo/VXACfbS8Y
KpoPZz0Aqe8kautQqqza+o0=
=xU3+
-----END PGP SIGNATURE-----
Más información sobre la lista de distribución ubuntu-es