[CentOS-es] Ataque por ssh2.

Walter Cervini wcervini en gmail.com
Mie Jun 19 18:27:44 UTC 2013


Comparto la misma opinion que todos los colegas que te han aportado sus
conocimientos,
yo agregaria algo adicional a todo eso

   1. NO permitir el acceso a ssh como usuario root
   2. Hacer uso de Sudo para configurar a cada uno de los usuarios las
   funcionalidades necesarias
   3. Fail2ban con bloqueo permanente con mas de 3 intentos de acceso
   fallido,
   4. Cambiar los puertos por defecto para ssh, mientras mas alto sea el
   numero del puerto menos probable que tengas escaneo de puertos.
   5. Tener algún IDS de sistema, a fin de poder verificar si el equipo
   esta comprometido.
   6. Recibir notificaciones Via Email por cada intento fallido o por cada
   bloqueo del puerto a una IP
   7. Opcional puedes habilitar el servicios por horas con el uso de cron
   8. La mas importante de todas las recomendaciones es que mantengas un
   monitoreo constante de tus equipos. Todo lo que hagas para proteger tus
   equipos nunca es suficiente.


*Walter Cervini*
RHCSA- RHCVA
Redhat Certificate Verification <http://red.ht/17kDRCa>
wcervini en gmail.com
cerviniw en yahoo.com
waltercervini en hotmail.com
*412-2042186*
*426-8060118*
 <https://twitter.com/v0lp>@v0lp



El 19 de junio de 2013 11:30, Miguel Gonzalez
<miguel_3_gonzalez en yahoo.es>escribió:

> Es importante saber que fail2ban por defecto solo banea temporalmente (por
> regla general es suficiente).
>
> Si quieres hacerlo de manera permanente, o lo indicas en la configuración
> o puedes crear un baneo fail2ban (busca algun tutorial) que busca en el
> mismo log de fail2ban y p.ej. al tercer baneo temporal banea una IP
> definitivamente.
>
> Esto de definitivo es mientras el servicio se mantenga activo y en
> memoria, asi que en caso de reboot o reinicio del servicio se perderían
> esos baneos.
>
> Saludos,
>
> Miguel
>
>
>
>
> ________________________________
>  De: Wilmer Arambula <tecnologiaterabyte en gmail.com>
> Para: centos-es en centos.org
> Enviado: Miércoles 19 de junio de 2013 17:43
> Asunto: Re: [CentOS-es] Ataque por ssh2.
>
>
> Listo instale file2bam con los servicios que estoy usando,
>
> Saludos y gracias.
>
>
> El 19 de junio de 2013 10:57, Héctor Herrera <hherreraa en gmail.com>
> escribió:
>
> > También podrías añadir al iptables autenticación solamente a algunas MAC
> y
> > con política por defecto DROP
> >
> > iptables -A INPUT -m mac --source-mac aa:bb:cc:dd:ee:ff -j ACCEPT
> >
> > (Puede que me equivoque, estoy escribiendo de memoria la regla, pero
> > debería ser algo así)
> >
> >
> > El 19 de junio de 2013 11:21, Diego Chacón <diego en gridshield.net>
> > escribió:
> >
> > > On 6/19/13 7:31 AM, Wilmer Arambula wrote:
> > > > Ya he configurado mi ssh para que solo autentique desde mi ip, no
> puede
> > > > loguear root, sera necesario que lo deshabilite, ya que he sido
> victima
> > > de
> > > > ataques para poder entrar a mi vps, igualmente por el webmin han
> > > intentado
> > > > pero la clave que tengo es compleja, que me recomiendadn,
> > > >
> > > > Saludos,
> > > >
> > > >
> > >
> > > Hace algunos años escribi este post, le puede servir.
> > >
> > >
> http://blog.internexo.com/2008/05/protegiendo-el-ssh-con-denyhosts.html
> > >
> > > Adicionalmente, agregaría un buen firewall que solo permita ssh desde
> > > algunas ip, y solo autenticar con llave no con contraseña.
> > >
> > > Saludos,
> > >
> > > --
> > > Diego Chacón Rojas
> > > Teléfono: +506 2258.5757
> > > E-mail: diego en gridshield.net
> > > Gridshield: I.T. Service Management
> > >
> > > _______________________________________________
> > > CentOS-es mailing list
> > > CentOS-es en centos.org
> > > http://lists.centos.org/mailman/listinfo/centos-es
> > >
> >
> >
> >
> > --
> > Saludos
> >
> > *Héctor Herrera Anabalón*
> > Egresado ICCI UNAP
> > Servicio Arquitectura Galatea - Oficina Técnica http://www.galatea.cl
> > Miembro USoLIX Victoria
> > Registered User #548600 (LinuxCounter.net)
> > _______________________________________________
> > CentOS-es mailing list
> > CentOS-es en centos.org
> > http://lists.centos.org/mailman/listinfo/centos-es
> >
>
>
>
> --
> *Wilmer Arambula. *
> *Asoc. Cooperativa Tecnologia Terabyte 124, RL.
> Venezuela.*
> *
> *
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>


Más información sobre la lista de distribución CentOS-es