Me uno a lo que comenta Gunnar que es muy cierto....<br>No hay recetas magicas para lograr la seguridad....<br>Y su opcion es muy buena, cambiar el ssh de puerto seguramente reducira drasticamente estos intentos de logearse al server...<br>
Un amigo lo hace y segun me ha comentado los ataques disminuyen casi un 95%<br><br>Otras opciones que ya te comentaron fail2ban...<br><br>Otra mas sshguard, yo lo he usado y funciona bastante bien.<br><br>-Abel<br><br><br>
<br><div class="gmail_quote">2010/6/9 Gunnar Wolf <span dir="ltr"><<a href="mailto:gwolf@gwolf.org">gwolf@gwolf.org</a>></span><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
Javier Delgado dijo [Mon, Jun 07, 2010 at 08:55:59PM -0500]:<br>
>(...)<br>
<br>
Me uno a los que apuntan a que tienes que meterte a estudiarle un poco<br>
más. No hay recetas mágicas para lograr la seguridad.<br>
<br>
> Por cierto.. ultimamente se han estado tratando de encontrar el root:<br>
><br>
> Jun  7 10:24:14 cl-t030-261cl sshd[12994]: Failed password for root from 218.234.33.31 port 46101 ssh2<br>
> Jun  7 10:24:14 cl-t030-261cl sshd[12995]: Received disconnect from <a href="http://218.234.33.31" target="_blank">218.234.33.31</a>: 11: Bye Bye<br>
> Jun  7 10:24:17 cl-t030-261cl sshd[12997]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.234.33.31  user=root<br>
> Jun  7 10:24:19 cl-t030-261cl sshd[12997]: Failed password for root from 218.234.33.31 port 46398 ssh2<br>
> Jun  7 10:24:20 cl-t030-261cl sshd[12998]: Received disconnect from <a href="http://218.234.33.31" target="_blank">218.234.33.31</a>: 11: Bye Bye<br>
(...)<br>
<br>
Puedes limitar a, digamos, 4 conexiones por ssh de determinada IP por<br>
minuto:<br>
<br>
    iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set<br>
    iptables -A INPUT -s ! x.x.x.0/24 -p tcp --dport 22 -m state --state new -m recent --update --seconds 60 --hitcount 4 -j REJECT<br>
<br>
donde x.x.x.0/24 es tu red local. Podrías también mover tu servicio de<br>
ssh a otro puerto, si no tienes muchos usuarios que actualizar...<br>
<br>
> Jun  7 13:50:55 cl-t030-261cl sshd[32537]: Invalid user data from 189.19.82.231<br>
> Jun  7 13:50:55 cl-t030-261cl sshd[32539]: input_userauth_request: invalid user data<br>
> Jun  7 13:50:55 cl-t030-261cl sshd[32537]: pam_unix(sshd:auth): check pass; user unknown<br>
> Jun  7 13:50:55 cl-t030-261cl sshd[32537]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=<a href="http://189-19-82-231.dsl.telesp.net.br" target="_blank">189-19-82-231.dsl.telesp.net.br</a><br>

> Jun  7 13:50:55 cl-t030-261cl sshd[32537]: pam_succeed_if(sshd:auth): error retrieving information about user data<br>
> Jun  7 13:50:58 cl-t030-261cl sshd[32537]: Failed password for invalid user data from 189.19.82.231 port 50966 ssh2<br>
<br>
No ganarías mucho bloqueando a Rusia si te atacan desde Brasil ;-)<br>
<br>
> y de estos:<br>
><br>
> Jun  7 14:10:02 cl-t030-261cl su: pam_unix(su:session): session opened for user postgres by (uid=0)<br>
> Jun  7 14:10:02 cl-t030-261cl su: pam_unix(su:session): session closed for user postgres<br>
> Jun  7 14:15:03 cl-t030-261cl su: pam_unix(su:session): session opened for user postgres by (uid=0)<br>
<br>
Por esto no te preocupes, esto es de origen local (uid=0 es root, y<br>
adquirió la personalidad de Postgres)<br>
<br>
> Y claro.. un escaneo en forma alfabetica:<br>
> Jun  7 13:34:05 cl-t030-261cl sshd[30467]: input_userauth_request: invalid user alex<br>
> Jun  7 13:34:09 cl-t030-261cl sshd[30479]: input_userauth_request: invalid user alien<br>
> Jun  7 13:34:13 cl-t030-261cl sshd[30483]: input_userauth_request: invalid user alpuser<br>
<br>
Si limitas -como te dije más arriba- a pocas conexiones por minuto,<br>
haces mucho más lento el barrido. Y si mueves tu ssh a un puerto<br>
diferente, te proteges de los que hacen búsquedas aleatorias a lo que<br>
responda en puerto 22.<br>
<br>
<br>
--<br>
Gunnar Wolf • <a href="mailto:gwolf@gwolf.org">gwolf@gwolf.org</a> • (+52-55)5623-0154 / 1451-2244<br>
<br>
--<br>
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"<br>
de Grupos de Google.<br>
Si quieres publicar en este grupo, envía un mensaje de correo<br>
electrónico a <a href="mailto:ayuda-linux@googlegroups.com">ayuda-linux@googlegroups.com</a><br>
Para anular la suscripción a este grupo, envía un mensaje a<br>
<a href="mailto:ayuda-linux-unsubscribe@googlegroups.com">ayuda-linux-unsubscribe@googlegroups.com</a><br>
Para obtener más opciones, visita este grupo en<br>
<a href="http://groups.google.es/group/ayuda-linux?hl=es" target="_blank">http://groups.google.es/group/ayuda-linux?hl=es</a>. o <a href="http://www.compunauta.com/ayuda/" target="_blank">http://www.compunauta.com/ayuda/</a></blockquote>
</div><br><br clear="all"><br>-- <br><br>-Abel<br><br>

<p></p>

-- <br />
Has recibido este mensaje porque estás suscrito a Grupo "ayuda-linux"<br />
de Grupos de Google.<br />
Si quieres publicar en este grupo, envía un mensaje de correo<br />
electrónico a ayuda-linux@googlegroups.com<br />
Para anular la suscripción a este grupo, envía un mensaje a<br />
ayuda-linux-unsubscribe@googlegroups.com<br />
Para obtener más opciones, visita este grupo en<br />
<a href="http://groups.google.es/group/ayuda-linux?hl=es">http://groups.google.es/group/ayuda-linux?hl=es</a>. o <a href="http://www.compunauta.com/ayuda/">http://www.compunauta.com/ayuda/</a>