-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Roberto Leon Lopez wrote: > Tengo un servidor con sshd configurado, con hosts.allow y hosts.deny > controlo desde que subred permito entrar ya que tengo una ip dinamica > pero se mueve dentro de una subred. > > El demonio sshd se levanta por xinetd cuando recibe una peticion ya que > apenas se usa el servicio y controla que mas de 3 conexiones a la vez no > permita.
Perdona, que distribucion usas? > > Estoy pensando en instalar fail2ban para banear los intentos delogin > aunque desde que los cerre en condiciones con hosts.allow no han vuelto > a intentarlo. Yo te recomiendo no usar ese tipo de soluciones. Porque? + En gral, los intentos que reciben son gusanitos que buscan el puerto 22. Mover el ssh de alli los deja fuera. + En gral, esos gusanitos, estan en equipos con IP dinamicas, por lo que la eventual solucion es momentanea. Que pasara luego con el nuevo equipo conectado a esa IP? Y con la nueva IP? + Eso te lleva a desperdiciar recursos en mantener listas inutiles (ver anterior) > > Mi pregunta es si ¿hay razones para tener el demonio sshd funcionando > sin ser levantado por xinetd? Supongo que recibiras razones para uno u otro metodo. Mi consejo? + Usa el ssh como servicio separado. + Usa puerto diferente al 22. + Limita el acceso a grupos y/o usuarios. + No uses acceso por contraseñas: reemplazalo por intercambio de llaves. + De ser posible, manten un filtro en tu firewall para IPs/dominios permitidos. + Lee a fondo y hasta entenderlo man sshd_config. > > - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFEBFp7kw12RhFuGy4RAoOwAJ9nGdELmlfAVTeEUkxXViCo0oEEggCgkC/r 54ExUWqbG6QbLIUQ/FISP8Q= =r4eT -----END PGP SIGNATURE-----
