+ Responder ao Tópico



  1. #1

    Padrão Bloqueando ataque ssh com ossec

    Ola. Gostaria de saber como eu posso bloquear ataque ssh com o ossec. No caso, eu tenho muitas tentativas de acesso ao meu ssh no /var/logs/messages. Gostaria de que depois de 5 tentativas o ossec bloquea-se o ip do atacante. Tem como fazer isso ? Procurei por toda net e nao encontrei. Se alguem puder me ajudar eu agradeceria .

    []s....Renato

  2. #2

    Padrão

    Fera, na instalação padrão do ossec vc tem que habilitar o firewall-drop.
    Se não me engano, na terceira tentativa o cara eh dropado.

    Mas o melhor mesmo eh mudar a porta do servidor ssh.
    Bota uma porta alta ae... 50321.. Vc vai ficar mais seguro.

    Ab



  3. #3

    Padrão

    Para melhorar, edite o sshd_config e coloque também para não entrar via ssh como root, depois de fazer o login se precisar dos privilégios do root é só executar o su!!!

  4. #4

    Padrão

    Trava a conexão de todos e libera apenas os ips que vc quer que logue via ssh.
    Ex.:
    Edite o /etc/hosts.deny e coloque sshd:all
    /etc/hosts.allow e coloque sshd:192.168.20.20 192.168.20.21

    []'s,
    Gustavo



  5. #5

    Padrão

    entra no sshd_config e coloca tb para nao aceitar login como root... e muda porta


    coloca Allow_users usuário
    Port 45678

    faça isso q seus problema praticamente sumirão... lembrando que nao adianta muito vc ter uma seguranca boa se sua senha de root é 123456..





    vlw

  6. #6

    Smile DaemonShield

    Amigo... Eu estava com muitos problemas com tentativas de invasão bruteforce.
    Até que um dia fui invadido... O kra conseguiu um dos usuários que tinham acesso via ssh ! Eu não permito root, apenas 2 usuários locais que precisam fazer acesso remoto mesmo. O kra conseguiu o login do camarada, e como não conseguiu logar-se como root, pois minha senha, acho eu é bastante segura, ele ficou tentando invadir outras máquinas através da minha. Então, quando peguei ele no fragla, vi os processos que ele estava rodando. Bom, após o testamento acima (rsrs) venho a te dizer que uma das melhores ferramentas que encontrei até hoje, fáceis de aplicar se chama DaemonShield. É um programinha em python, que fica rodando como um daemon mesmo, analisando os logs de segurança e do pam. Ou seja, todas as tentativas entrantes na sua rede, sejam elas com sucesso ou não, ficam logadas no /var/log/secure. Pelo menos nas distros baseadas em RedHat.
    Então vc especifica de quantos em quantos segundos ele analisará o log, e qual a string que ele deve analisar, por exemplo "Failed password" ou "Invalid user" . Então, ele cria uma regra no iptables dinâmicamente para dropar todos os pacotes entrantes vindo do ip que estava listado no /var/log/secure . É muito iinteressante mesmo...

    Achei ele no Dicas-L .. Aí vai o link do tuto de como instalar....
    [Dicas-L] Reforçando a segurança do ssh

    Qualquer dúvida .. é só postar!!

    Abraços ... espero que ajude!!!

    Fred Chevitarese - GNU/Linux