El Sun, 11 Apr 2010 17:35:10 +0200, Angel Abad escribió: > Camaleón escribió:
>> Ten en cuenta que lo ideal es tener alguna de estas opciones >> habilitadas, independiente de donde tengas escuchando el servidor ssh, >> sobre todo si el servicio ssh es público y accesible desde Internet. > > Por supupesto, estoy de acuerdo contigo y como he dicho antes, tengas el > ssh en el puerto que lo tengas es un servicio crítico que hay que > securizar y si además le añades seguridad adicional como fail2ban, mejor > que mejor... Claro. Es que se tiende a pensar que el cambio de puerto te proporciona seguridad y más bien lo que hace es lo contrario: genera un efecto de falsa seguridad que hace que te olvides de implementar otras medidas, más realistas y efectivas. >> La mayoría de los scripts automatizados que hay por ahí hacen un >> escaneo de todos los puertos, y cuando encuentran uno escuchando, lo >> acribillan. > > No estoy de acuerdo, los scripts automatizados buscan puertos abiertos, > pero por lo general un script kiddie no va a buscar un puerto abierto en > el 22221 y si lo encuentra es raro que se tire a hacer un desafio > usuario/contraseña de forma automática en ese puerto. Ah, pero ¿todavía se utilizan los métodos manuales para acceder los sistemas? Yo pensaba que eso ya era cosa del pasado :-) >> Es decir, conocer de antemano (o no) el puerto al que tienes asociado >> un servicio a día de hoy resulta casi inútil. Hace 10 años, vale, pero >> ahora hay herramientas que hacen de todo automáticamente y en apenas >> unos segundos >:-) > > Tampoco estoy de acuerdo, la verdad que no tengo argumentos, pero por > experiencia... Cuando he tenido servers con el ssh en el puerto 22 logs > eran un infierno, un montón de ataques de diccionario al dia. Cambiarlos > al 222** y desde ese dia puedes ver los logs y no tienes mil intentos de > usuario/contraseña. Como te digo no tengo argumentos para decirte por > que, pero si tienes servidores públicos prueba a cambiar el puerto y > verás la diferencia en tu /var/log/auth.log A mí me atacan el puerto 110 (servidor pop3), supongo que para obtener la contraseña y poder enviar a través del servidor smtp (que implementa smtp auth). No puedo cambiarlo, es un servicio universal, sólo puedo asegurarlo (por medio de reglas en el cortafuegos que desconecten a los scripts automatizados a los "x" intentos fallidos)) y vigilarlo muy de cerca. Obviamente, forzar una política de contraseñas seguras, para que los usuarios no me usen "sunombre01" y cosas así :-) Saludos, -- Camaleón -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
