[AYUDA] servidor sobrecargado...

Gunnar Wolf gwolf en gwolf.org
Mie Jun 9 08:25:54 CDT 2010 

Javier Delgado dijo [Mon, Jun 07, 2010 at 08:55:59PM -0500]:
>(...)

Me uno a los que apuntan a que tienes que meterte a estudiarle un poco
más. No hay recetas mágicas para lograr la seguridad.

> Por cierto.. ultimamente se han estado tratando de encontrar el root:
>
> Jun  7 10:24:14 cl-t030-261cl sshd[12994]: Failed password for root from 218.234.33.31 port 46101 ssh2
> Jun  7 10:24:14 cl-t030-261cl sshd[12995]: Received disconnect from 218.234.33.31: 11: Bye Bye
> Jun  7 10:24:17 cl-t030-261cl sshd[12997]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.234.33.31  user=root
> Jun  7 10:24:19 cl-t030-261cl sshd[12997]: Failed password for root from 218.234.33.31 port 46398 ssh2
> Jun  7 10:24:20 cl-t030-261cl sshd[12998]: Received disconnect from 218.234.33.31: 11: Bye Bye
(...)

Puedes limitar a, digamos, 4 conexiones por ssh de determinada IP por
minuto:

    iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set 
    iptables -A INPUT -s ! x.x.x.0/24 -p tcp --dport 22 -m state --state new -m recent --update --seconds 60 --hitcount 4 -j REJECT

donde x.x.x.0/24 es tu red local. Podrías también mover tu servicio de
ssh a otro puerto, si no tienes muchos usuarios que actualizar...

> Jun  7 13:50:55 cl-t030-261cl sshd[32537]: Invalid user data from 189.19.82.231
> Jun  7 13:50:55 cl-t030-261cl sshd[32539]: input_userauth_request: invalid user data
> Jun  7 13:50:55 cl-t030-261cl sshd[32537]: pam_unix(sshd:auth): check pass; user unknown
> Jun  7 13:50:55 cl-t030-261cl sshd[32537]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=189-19-82-231.dsl.telesp.net.br
> Jun  7 13:50:55 cl-t030-261cl sshd[32537]: pam_succeed_if(sshd:auth): error retrieving information about user data
> Jun  7 13:50:58 cl-t030-261cl sshd[32537]: Failed password for invalid user data from 189.19.82.231 port 50966 ssh2

No ganarías mucho bloqueando a Rusia si te atacan desde Brasil ;-)

> y de estos:
>
> Jun  7 14:10:02 cl-t030-261cl su: pam_unix(su:session): session opened for user postgres by (uid=0)
> Jun  7 14:10:02 cl-t030-261cl su: pam_unix(su:session): session closed for user postgres
> Jun  7 14:15:03 cl-t030-261cl su: pam_unix(su:session): session opened for user postgres by (uid=0)

Por esto no te preocupes, esto es de origen local (uid=0 es root, y
adquirió la personalidad de Postgres)

> Y claro.. un escaneo en forma alfabetica:
> Jun  7 13:34:05 cl-t030-261cl sshd[30467]: input_userauth_request: invalid user alex
> Jun  7 13:34:09 cl-t030-261cl sshd[30479]: input_userauth_request: invalid user alien
> Jun  7 13:34:13 cl-t030-261cl sshd[30483]: input_userauth_request: invalid user alpuser

Si limitas -como te dije más arriba- a pocas conexiones por minuto,
haces mucho más lento el barrido. Y si mueves tu ssh a un puerto
diferente, te proteges de los que hacen búsquedas aleatorias a lo que
responda en puerto 22.


-- 
Gunnar Wolf • gwolf en gwolf.org • (+52-55)5623-0154 / 1451-2244

-- 
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"
de Grupos de Google.
Si quieres publicar en este grupo, envía un mensaje de correo
electrónico a ayuda-linux en googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
ayuda-linux-unsubscribe en googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.es/group/ayuda-linux?hl=es. o http://www.compunauta.com/ayuda/

Más información sobre la lista de distribución Ayuda