[MASOCH-L] RES: Ataques ssh
Dario
niudelei at gmail.com
Sat Nov 19 20:27:31 -03 2005
Sim sim, brigadão, tb coloquei essa parte, eu criei um usuário normal e
deixei pra nunca fazer login de root, criei um scritp pra após fazer o login
ele jah dah um 'su', então mesmo q o cara axar a senha do usuário ele ainda
fica na tela de senha de root, brigadão tb pelos tokes.
-----Mensagem original-----
De: masoch-l-bounces at eng.registro.br
[mailto:masoch-l-bounces at eng.registro.br] Em nome de Julio Arruda
Enviada em: sábado, 19 de novembro de 2005 16:02
Para: Mail Aid and Succor, On-line Comfort and Help
Assunto: Re: [MASOCH-L] Ataques ssh
Somente algumas adicoes mais no sumario bem completo do Claudio.
Geralmente, eu alem de limitar os hosts permitidos, eu limito no ssh de
onde eu vou conectar..
exemplo:, no hosts.allow eu tenho sshd: x.x.x.x/y (subnet do meu trabalho)
Eu sei de pessoas que precisam de mais mobilidade, e o que elas fazem e'
colocar um portknocker para abrir temporariamente os hosts que podem
conectar.
E, uma ultima, adicao o que ele falou do sshd_config, liste
explicitamente que usuarios podem conectar com o sshd com o AllowUsers
Claudio Correa Porto wrote:
> Olá Dario.
>
> A Primeira linha significa que o root efetuou login pelo IP 201.0.124.212.
Se
> não foi você, significa que outra pessoa fez isto. E sim, você foi
invadido.
>
> É recomendável que você reinstale todo o sistema.
>
> Neste novo sistema, instale o IPTABLES, e configure um Firewall, limitando
os
> acessos apenas a partir do(s) IP(s) que você utiliza para acesso remoto.
>
> Configure o /etc/hosts.deny para
> ALL:ALL
>
> e o /etc/hosts.allow
> para ALL:IP_USADO_PARA_ACESSO_REMOTO
>
> Configure também no /etc/ssh/sshd_config restrição de acesso ao root,
aterando
> a linha "PermitRootLogin yes" para "PermitRootLogin no" e crie um usuário
> para acesso, com senha diferente do root, e somente acesse o sistema com
este
> usuário. Quando precisar utilizar o root, use o comando "/bin/su -" ou
"sudo"
>
> Além disso altere a porta do ssh de 22 para uma outra qualquer, para
evitar
> ataques automatizados (embora isto não proteja com tanta eficiência),
> alterando a linha "Port 22" também no /etc/ssh/sshd_config
>
> E uma dica importante, nunca acesse via ssh, ou qualquer outro método, a
> partir de uma máquina não confiável ou de terceiros, pois o teclado pode
> estar sendo capturado, e a sua senha de 15 caracteres sendo armazenada em
um
> arquivo. (O que pode ter acontecido)
>
> Estas são algumas medidas de segurança, entre outras, como instalar um
IDS,
> etc...
>
> Boa sorte.
> Claudio C. Porto
>
> Em Sáb 19 Nov 2005 04:32, Dario escreveu:
>
>>Olha só meu log de autenticação:
>>
>>Nov 18 19:37:38 firewall sshd[9360]: Accepted keyboard-interactive/pam for
>>root from 201.0.124.212 port 50907 ssh2
>>Nov 18 19:37:39 firewall sshd[9390]: (pam_unix) session opened for user
>>root by root(uid=0)
>>Nov 18 19:39:01 firewall CRON[9573]: (pam_unix) session opened for user
>>root by (uid=0)
>>Nov 18 19:39:01 firewall CRON[9573]: (pam_unix) session closed for user
>>root Nov 18 19:48:38 firewall sshd[10681]: Accepted
>>keyboard-interactive/pam for root from 201.6.41.230 port 1139 ssh2
>>Nov 18 19:48:38 firewall sshd[10711]: (pam_unix) session opened for user
>>root by root(uid=0)
>>
>>Isso significa q o cara já conseguiu me invadir ? se sim, podem me dizer
>>como fazer pra me defender disso ? minha senha acho q naum pode ser, alem
>>de ter trocado ela 4 vezes ela tem 15 caracteres. Sou noob no assunto
>>servidor e principalmente em segurança.
>>
>>__
>>masoch-l list
>>https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list