Re: Como intimidar invasão?
mas que tipos de ateques sao esses?
vindos de apenas um host? varios?
detalhe melhor isso ae um pouco...
coloca uma regra no firewall dropando o trafego desse(s) host(s) na sua rede, TALVEZ dependendo de como o ataque esta sendo originado isso resolve.
Re: Como intimidar invasão?
Citação:
Postado originalmente por Patrick
mas que tipos de ateques sao esses?
vindos de apenas um host? varios?
detalhe melhor isso ae um pouco...
coloca uma regra no firewall dropando o trafego desse(s) host(s) na sua rede, TALVEZ dependendo de como o ataque esta sendo originado isso resolve.
Ele fica tentando via SSH consecutivamente, daí fica trocando de porta. São diversos hosts.
Obrigado.
Re: Como intimidar invasão?
Colega, não vale a pena tentar intimidar esses ataques, pois eles sao feitos por bots que estão em busca de novas maquinas para comprometer e juntar ao exercito...
como vc deve imaginar, um pequeno script em perl (bot) não terá medo do que vc fizer aí, uma vez que ele nem sabe ler...
o que voce pode fazer é instalar um software que se chama "sshdfilter" ele tratará do assunto sem problemas
Um abraço[]
Re: Como intimidar invasão?
Citação:
Postado originalmente por The-shadow
Colega, não vale a pena tentar intimidar esses ataques, pois eles sao feitos por bots que estão em busca de novas maquinas para comprometer e juntar ao exercito...
como vc deve imaginar, um pequeno script em perl (bot) não terá medo do que vc fizer aí, uma vez que ele nem sabe ler...
o que voce pode fazer é instalar um software que se chama "sshdfilter" ele tratará do assunto sem problemas
Um abraço[]
OK!
E obrigado pela dica do "sshdfilter".
Re: Como intimidar invasão?
Ola galera, no meu servidor atual eu trabalho com APF, ele fica monitorando os logs tanto de ssh qnto de ftp, email ao detectar x tentativas erronias ele bloqueia o ip de origem, o tempo de verificaçao voce define do cronta, no geral se coloca 2 minutos.
Re: Como intimidar invasão?
Como o pessoal já disse, não adianta tentar intimidar :-(
Eu simplesmente mudei a porta padrão p/ uma porta alta (acima de 49152). Acabou-se o problema, pelo menos por enquanto.
Outra opção é fechar o acesso SSH normal e usar o JTA <http://javassh.org>, com a vantagem que não vai mais precisar do cliente SSH, apenas um navegador com Java.
Re: Como intimidar invasão?
mais simples ainda eh fazer uma regra assim:
iptables -N SSH
iptables -I INPUT -p tcp --dport 22 -j SSH
iptables -A SSH -s seu.ip -j ACCEPT
iptables -A SSH -s mais.algum.ip -j ACCEPT
iptables -A SSH -j DROP
fazendo isso.. permitirá somente os ips que vc cadastrar na chain SSH !!!
Re: Como intimidar invasão?
Citação:
Postado originalmente por Alexandre Correa
mais simples ainda eh fazer uma regra assim:
iptables -N SSH
iptables -I INPUT -p tcp --dport 22 -j SSH
iptables -A SSH -s seu.ip -j ACCEPT
iptables -A SSH -s mais.algum.ip -j ACCEPT
iptables -A SSH -j DROP
fazendo isso.. permitirá somente os ips que vc cadastrar na chain SSH !!!
Isto e bom somente par aquem tem ip fixo, a maioria de quem faz acesso possui ip dinamico, muda a cada conexao, se isso ocorre babaus conexao :)
Re: Como intimidar invasão?
Concordo com spectrom. Eu. por exemplo, preciso acessar os servidores de qualquer lugar, via ADSL, dial-up, wireless, etc., e muitos deles, como o meu próprio. usa IP dinâmico.
Re: Como intimidar invasão?
Sinceramente algumas coisas:
Port 12921
LoginGraceTime 10s == 10 segundos para digita a senha
PermitRootLogin no === O rooot nem a pau
MaxAuthTries 1 == 1 tentativa por conexao
Alem disso
iptables -t filter -A INPUT -p tcp --dort 12921 -j LOG --log-level 7 --log-prefix "ACESSO AO sshd"
iSSO JA RESOLVE 99,9% dos seus problemas
Re: Como intimidar invasão?
Citação:
Postado originalmente por wps
Sinceramente algumas coisas:
Port 12921
LoginGraceTime 10s == 10 segundos para digita a senha
PermitRootLogin no === O rooot nem a pau
MaxAuthTries 1 == 1 tentativa por conexao
Alem disso
iptables -t filter -A INPUT -p tcp --dort 12921 -j LOG --log-level 7 --log-prefix "ACESSO AO sshd"
iSSO JA RESOLVE 99,9% dos seus problemas
Beleza! mas me fale pra que serve o "--log-level 7" e resto eu sei pra que serve.
Obrigado e aguardo retorno.
Re: Como intimidar invasão?
grava os logs do iptables em nivel debug ou extremamente verboso para vc poder fazer uma analise total do pacote lembre que ele ficaram em /var/log/debug
Re: Como intimidar invasão?
Fala Aprendiz!
Que distribuição você está utilizando?
Tive esse tipo de problema com o Conectiva 10 e não consegui chegar a uma conclusão se é problema de vulnerabilidade da prórpia distro ou do ssh que acompanha a distribuição...
Lembrando que você pode aumenter o nível de segurança configurando corretamente o SSH server...
Gaiotto
Re: Como intimidar invasão?
Citação:
Postado originalmente por capgaiotto
Fala Aprendiz!
Que distribuição você está utilizando?
Tive esse tipo de problema com o Conectiva 10 e não consegui chegar a uma conclusão se é problema de vulnerabilidade da prórpia distro ou do ssh que acompanha a distribuição...
Lembrando que você pode aumenter o nível de segurança configurando corretamente o SSH server...
Gaiotto
Fala capgaiotto,
atualmente estou utilizando (preferencialmente) Debian 3.1 e tenho alguma coisa de Conectiva Linux 10/9/8 instalado por aí...
Obrigado pela atenção.
Re: Como intimidar invasão?
Pessoal, realmente os ataques contra o serviço SSH são um problema constante e que, na maioria dos casos, chega a tirar o sono de alguns sysadmin.
Meu caso:
Tenho alguns clientes e também administro um provedor de internet. Através de uma máquina em casa ligada 24H, a qual permite acesso SSH de qualquer lugar, bem protegida e logando todo e qualquer tipo de conexão, fechei os servidores de meus clientes de forma a somente aceitarem conexão SSH oriundas dessa minha máquina de casa. Cada servidor/firewall de cliente tem uma conta de acesso (login) diferente; a senha nunca é a mesma, as portas do SSH não são as mesmas (de jeito nenhum a 22), de forma que, mesmo que meu firewall de casa seja invadido, ele não compromete a segurança dos outros firewalls. Não tenho nenhum "arquivinho" com informações dos outros servers no meu firewall. Monitoro os logs diariamente; amo o SNORT e idolatro o PORTSENTRY...
Acredito que dessa forma posso TENTAR dormir mais tranquilo as 3:30 da manhã...
Todas as dicas aqui são excelentes. Tente juntá-las pra tornar o seu sistema o mais seguro possível, e lembre-se que nenhum sistema é 100% infalível... :roll:
Atenciosamente,
Sadi.
Re: Como intimidar invasão?
Citação:
Postado originalmente por sadirj
Pessoal, realmente os ataques contra o serviço SSH são um problema constante e que, na maioria dos casos, chega a tirar o sono de alguns sysadmin.
Meu caso:
Tenho alguns clientes e também administro um provedor de internet. Através de uma máquina em casa ligada 24H, a qual permite acesso SSH de qualquer lugar, bem protegida e logando todo e qualquer tipo de conexão, fechei os servidores de meus clientes de forma a somente aceitarem conexão SSH oriundas dessa minha máquina de casa. Cada servidor/firewall de cliente tem uma conta de acesso (login) diferente; a senha nunca é a mesma, as portas do SSH não são as mesmas (de jeito nenhum a 22), de forma que, mesmo que meu firewall de casa seja invadido, ele não compromete a segurança dos outros firewalls. Não tenho nenhum "arquivinho" com informações dos outros servers no meu firewall. Monitoro os logs diariamente; amo o SNORT e idolatro o PORTSENTRY...
Acredito que dessa forma posso TENTAR dormir mais tranquilo as 3:30 da manhã...
Todas as dicas aqui são excelentes. Tente juntá-las pra tornar o seu sistema o mais seguro possível, e lembre-se que nenhum sistema é 100% infalível... :roll:
Atenciosamente,
Sadi.
Sadi,
valeu pela sua orientação. Vou ver o que posso fazer mediante o q você me passou.
Obrigado e aquele abraço.