Bloqueando ataque ssh com ossec

[Dedao]

Ola. Gostaria de saber como eu posso bloquear ataque ssh com o ossec. No caso, eu tenho muitas tentativas de acesso ao meu ssh no /var/logs/messages. Gostaria de que depois de 5 tentativas o ossec bloquea-se o ip do atacante. Tem como fazer isso ? Procurei por toda net e nao encontrei. Se alguem puder me ajudar eu agradeceria .

[]s....Renato

[samuelstj]

Fera, na instalação padrão do ossec vc tem que habilitar o firewall-drop.
Se não me engano, na terceira tentativa o cara eh dropado.

Mas o melhor mesmo eh mudar a porta do servidor ssh.
Bota uma porta alta ae... 50321.. Vc vai ficar mais seguro.

Ab

[igorallan]

Para melhorar, edite o sshd_config e coloque também para não entrar via ssh como root, depois de fazer o login se precisar dos privilégios do root é só executar o su!!!

[ghenri]

Trava a conexão de todos e libera apenas os ips que vc quer que logue via ssh.
Ex.:
Edite o /etc/hosts.deny e coloque sshd:all
/etc/hosts.allow e coloque sshd:192.168.20.20 192.168.20.21

[]'s,
Gustavo

[mastellaro]

entra no sshd_config e coloca tb para nao aceitar login como root... e muda porta


coloca Allow_users usuário
Port 45678

faça isso q seus problema praticamente sumirão... lembrando que nao adianta muito vc ter uma seguranca boa se sua senha de root é 123456..





vlw

[fchevitarese]

Amigo... Eu estava com muitos problemas com tentativas de invasão bruteforce.
Até que um dia fui invadido... O kra conseguiu um dos usuários que tinham acesso via ssh ! Eu não permito root, apenas 2 usuários locais que precisam fazer acesso remoto mesmo. O kra conseguiu o login do camarada, e como não conseguiu logar-se como root, pois minha senha, acho eu é bastante segura, ele ficou tentando invadir outras máquinas através da minha. Então, quando peguei ele no fragla, vi os processos que ele estava rodando. Bom, após o testamento acima (rsrs) venho a te dizer que uma das melhores ferramentas que encontrei até hoje, fáceis de aplicar se chama DaemonShield. É um programinha em python, que fica rodando como um daemon mesmo, analisando os logs de segurança e do pam. Ou seja, todas as tentativas entrantes na sua rede, sejam elas com sucesso ou não, ficam logadas no /var/log/secure. Pelo menos nas distros baseadas em RedHat.
Então vc especifica de quantos em quantos segundos ele analisará o log, e qual a string que ele deve analisar, por exemplo "Failed password" ou "Invalid user" . Então, ele cria uma regra no iptables dinâmicamente para dropar todos os pacotes entrantes vindo do ip que estava listado no /var/log/secure . É muito iinteressante mesmo...

Achei ele no Dicas-L .. Aí vai o link do tuto de como instalar....
[Dicas-L] Reforçando a segurança do ssh

Qualquer dúvida .. é só postar!!

Abraços ... espero que ajude!!!

Fred Chevitarese - GNU/Linux