Comparto la misma opinion que todos los colegas que te han aportado sus conocimientos, yo agregaria algo adicional a todo eso
1. NO permitir el acceso a ssh como usuario root 2. Hacer uso de Sudo para configurar a cada uno de los usuarios las funcionalidades necesarias 3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso fallido, 4. Cambiar los puertos por defecto para ssh, mientras mas alto sea el numero del puerto menos probable que tengas escaneo de puertos. 5. Tener algún IDS de sistema, a fin de poder verificar si el equipo esta comprometido. 6. Recibir notificaciones Via Email por cada intento fallido o por cada bloqueo del puerto a una IP 7. Opcional puedes habilitar el servicios por horas con el uso de cron 8. La mas importante de todas las recomendaciones es que mantengas un monitoreo constante de tus equipos. Todo lo que hagas para proteger tus equipos nunca es suficiente.
*Walter Cervini* RHCSA- RHCVA Redhat Certificate Verification http://red.ht/17kDRCa wcervini@gmail.com cerviniw@yahoo.com waltercervini@hotmail.com *412-2042186* *426-8060118* https://twitter.com/v0lp@v0lp
El 19 de junio de 2013 11:30, Miguel Gonzalez miguel_3_gonzalez@yahoo.esescribió:
Es importante saber que fail2ban por defecto solo banea temporalmente (por regla general es suficiente).
Si quieres hacerlo de manera permanente, o lo indicas en la configuración o puedes crear un baneo fail2ban (busca algun tutorial) que busca en el mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP definitivamente.
Esto de definitivo es mientras el servicio se mantenga activo y en memoria, asi que en caso de reboot o reinicio del servicio se perderían esos baneos.
Saludos,
Miguel
De: Wilmer Arambula tecnologiaterabyte@gmail.com Para: centos-es@centos.org Enviado: Miércoles 19 de junio de 2013 17:43 Asunto: Re: [CentOS-es] Ataque por ssh2.
Listo instale file2bam con los servicios que estoy usando,
Saludos y gracias.
El 19 de junio de 2013 10:57, Héctor Herrera hherreraa@gmail.com escribió:
También podrías añadir al iptables autenticación solamente a algunas MAC
y
con política por defecto DROP
iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT
(Puede que me equivoque, estoy escribiendo de memoria la regla, pero debería ser algo así)
El 19 de junio de 2013 11:21, Diego Chacón diego@gridshield.net escribió:
On 6/19/13 7:31 AM, Wilmer Arambula wrote:
Ya he configurado mi ssh para que solo autentique desde mi ip, no
puede
loguear root, sera necesario que lo deshabilite, ya que he sido
victima
de
ataques para poder entrar a mi vps, igualmente por el webmin han
intentado
pero la clave que tengo es compleja, que me recomiendadn,
Saludos,
Hace algunos años escribi este post, le puede servir.
http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html
Adicionalmente, agregaría un buen firewall que solo permita ssh desde algunas ip, y solo autenticar con llave no con contraseña.
Saludos,
-- Diego Chacón Rojas Teléfono: +506 2258.5757 E-mail: diego@gridshield.net Gridshield: I.T. Service Management
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Saludos
*Héctor Herrera Anabalón* Egresado ICCI UNAP Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- *Wilmer Arambula. * *Asoc. Cooperativa Tecnologia Terabyte 124, RL. Venezuela.*
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es