[MASOCH-L] Ataques ssh

Julio Arruda jarruda-gter at jarruda.com
Sat Nov 19 16:01:39 BRST 2005 

Somente algumas adicoes mais no sumario bem completo do Claudio.

Geralmente, eu alem de limitar os hosts permitidos, eu limito no ssh de 
onde eu vou conectar..
exemplo:, no hosts.allow eu tenho sshd: x.x.x.x/y (subnet do meu trabalho)

Eu sei de pessoas que precisam de mais mobilidade, e o que elas fazem e' 
colocar um portknocker para abrir temporariamente os hosts que podem 
conectar.

E, uma ultima, adicao o que ele falou do sshd_config, liste 
explicitamente que usuarios podem conectar com o sshd com o AllowUsers

Claudio Correa Porto wrote:
> Olá Dario.
> 
> A Primeira linha significa que o root efetuou login pelo IP 201.0.124.212. Se 
> não foi você, significa que outra pessoa fez isto. E sim, você foi invadido.
> 
> É recomendável que você reinstale todo o sistema. 
> 
> Neste novo sistema, instale o IPTABLES, e configure um Firewall, limitando os 
> acessos apenas a partir do(s) IP(s) que você utiliza para acesso remoto.
> 
> Configure o /etc/hosts.deny para 
> ALL:ALL 
> 
> e o /etc/hosts.allow 
> para ALL:IP_USADO_PARA_ACESSO_REMOTO
> 
> Configure também no /etc/ssh/sshd_config restrição de acesso ao root, aterando 
> a linha "PermitRootLogin yes" para "PermitRootLogin no" e crie um usuário 
> para acesso, com senha diferente do root, e somente acesse o sistema com este 
> usuário. Quando precisar utilizar o root, use o comando "/bin/su -" ou "sudo"
> 
> Além disso altere a porta do ssh de 22 para uma outra qualquer, para evitar 
> ataques automatizados (embora isto não proteja com tanta eficiência), 
> alterando a linha "Port 22" também no  /etc/ssh/sshd_config
> 
> E uma dica importante, nunca acesse via ssh, ou qualquer outro método, a 
> partir de uma máquina não confiável ou de terceiros, pois o teclado pode 
> estar sendo capturado, e a sua senha de 15 caracteres sendo armazenada em um 
> arquivo. (O que pode ter acontecido)
> 
> Estas são algumas medidas de segurança, entre outras, como instalar um IDS, 
> etc...
> 
> Boa sorte.
> Claudio C. Porto
> 
> Em Sáb 19 Nov 2005 04:32, Dario escreveu:
> 
>>Olha só meu log de autenticação:
>>
>>Nov 18 19:37:38 firewall sshd[9360]: Accepted keyboard-interactive/pam for
>>root from 201.0.124.212 port 50907 ssh2
>>Nov 18 19:37:39 firewall sshd[9390]: (pam_unix) session opened for user
>>root by root(uid=0)
>>Nov 18 19:39:01 firewall CRON[9573]: (pam_unix) session opened for user
>>root by (uid=0)
>>Nov 18 19:39:01 firewall CRON[9573]: (pam_unix) session closed for user
>>root Nov 18 19:48:38 firewall sshd[10681]: Accepted
>>keyboard-interactive/pam for root from 201.6.41.230 port 1139 ssh2
>>Nov 18 19:48:38 firewall sshd[10711]: (pam_unix) session opened for user
>>root by root(uid=0)
>>
>>Isso significa q o cara já conseguiu me invadir ? se sim, podem me dizer
>>como fazer pra me defender disso ? minha senha acho q naum pode ser, alem
>>de ter trocado ela 4 vezes ela tem 15 caracteres. Sou noob no assunto
>>servidor e principalmente em segurança.
>>
>>__
>>masoch-l list
>>https://eng.registro.br/mailman/listinfo/masoch-l
> 
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>

More information about the masoch-l mailing list