Caros, Gostaria da opniao de voces no entendimento da seguinte mensagem: Aug 27 06:25:02 hmtjprx su[22516]: Successful su for nobody by root
Nessa menssagem, o root virou usuario nobody esta correta a minha compreençao. Att. Leandro Moreira 2009/8/28 Leandro Moreira <[email protected]> > Caros, > O mais incrivel e q ele nao sofreu ataque de força bruta, alem do meu > usuario do root e do nobody ninguem mais teve acesso. > Tenho varios acesso desse tipo: > > Aug 19 06:25:03 hmtjprx su[12233]: (pam_unix) session opened for user > nobody by (uid=0) > Aug 19 06:25:03 hmtjprx su[12233]: (pam_unix) session closed for user > nobody > > isso pode ser um ataque, pois nao tem tentativa de envio de senha, to > entendendo que e algum processo que usa o usuario nobody. > > Att. > > Leandro Moreira. > > 2009/8/28 Leandro Moreira <[email protected]> > >> Edson, >> Se for possivel me mande as regras, pois esse conceito de port-knocking e >> bem legal. >> >> Att. >> >> Leandro Moreira. >> >> 2009/8/28 Edson Marquezani Filho <[email protected]> >> >> 2009/8/28 Leandro Moreira <[email protected]>: >>> > Alex, >>> > Na verdade eu preciso montar um relatorio para enviar para o cliente, >>> por >>> > isso preciso confirmar essa informacao, sua ideia da VPN e intersante, >>> mas >>> > na grande maioria acesso muito pouco entao o custo nao compesa, o qque >>> vou >>> > fazer e deixar o NAT para o ssh desativado, so ativando quando for >>> > necessario. >>> > >>> > Att. >>> > >>> > Leandro Moreira. >>> >>> Vocẽ pode usar fail2ban. >>> Trata-se de um daemon que monitora tentativas de ataque por força >>> bruta a diversos serviços e bloqueia o endereço de origem desses >>> ataques. Eu tenho servidores SSH espalhados por aí, em portas >>> não-padrão e padrão, e não tive problemas até agora. >>> >>> Uma técnica muito legal e eficiente também, e muito simples de se >>> fazer, chama-se port-knocking. Eu prefiro muito mais isso, aliás. Se >>> faz com regras simples de iptables, em conjunto com o módulo >>> ipt_recent. A idéia é você ter uma porta "secreta" que, ao receber um >>> pacote, te libera conexão na porta onde o serviço roda de verdade. (Só >>> libera pra quem mandou o pacote, claro.) Do contrário, a porta fica >>> sempre bloqueada. >>> >>> Um colega meu escreveu um artigo na Linux Magazine #26 exatamente >>> sobre. Aliás, foi ele que me ensinou isso. =) >>> >>> (Se quiser umas regrinhas de exemplo, posso te passar depois.) >>> >> >> >> >> -- >> Leandro Moreira >> Linux Administrator: LPIC-1 >> e-mail/msn: [email protected] >> Tel.: + 55(32) 9906-5713 >> > > > > -- > Leandro Moreira > Linux Administrator: LPIC-1 > e-mail/msn: [email protected] > Tel.: + 55(32) 9906-5713 > -- Leandro Moreira Linux Administrator: LPIC-1 e-mail/msn: [email protected] Tel.: + 55(32) 9906-5713
