Re: configurar accés remot per ssh
10/01/12 @ 16:57 (+0100), Jordi Funollet escriu: > Jo he arribat a la conclusió de que no paga la pena canviar de port: no és > garantia de que no el trobin, cal documentar-ho, cal configurar les > aplicacions > que fan servir SSH per conectar, i cal que els firewalls que tinguis per mig > et > permetin conectar a aquest port "no estàndard" (quan ets "de visita" a una > wifi > sovint tens restringits els ports de destí). Per ara l'única persona que es connectarà sóc jo amb el client ssh per tant tampoc crec que sigui massa problemàtic. > Els escaneigs de força bruta els pots evitar amb una eina com 'fail2ban' o > 'denyhosts' que deia en Jordi(V). Permet N intents de connexió i a partir > d'aquí rebutja les conexions des de la IP "sospitosa" (durant una estona). Ben bé força bruta no n'he trobat cap, només intents de login com a "root" (que no està permès) però sembla que desisteixen bastant ràpid. Si veig que va a més potser sí que hauré de prendre mesures. > > Aquest invent d'enviar un mail amb cada login... és una mica d'estar per > casa, > per dir-ho finament. :-) Sobretot quan aquesta informació ja es guarda als > logs, independentment de amb quina shell entris. Si et sembla que et cal > vigilar els logs, et recomano que facis una ullada a 'logcheck'. Sí, és un invent bastant "cutre" però funciona :) En els logs es guarda la informació, però clar els logs estan en el mateix ordinador. Si l'intrús aconsegueix escalar privilegis (o com es digui :) pot borrar els logs. A part que tampoc els miro. En canvi si s'envia automàticament un mail a un compte de gmail per ex. això no té manera d'evitar-ho, en principi, i es veu de seguida. Diguem que és com una alarma. Si tens molts usuaris suposo que no és pràctic, però com que només sóc jo sol i em connecto per ssh potser 2 cops a la setmana com a molt, es pot fer. > > -- > Jordi Funollet Pujol > http://www.linkedin.com/in/jordifunollet > > > -- > To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > Archive: http://lists.debian.org/3687289.CZkNWOLR5X@suri > -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120110194746.GB1776@doriath.local
Re: configurar accés remot per ssh
10/01/12 @ 13:44 (+0100), Pere Nubiola Radigales escriu: > En un router de telefònica hem vaig trobar que el firewall bloquejava els > prots 21,22,23 admetent sols algunes adreces Ip determinades. Lo que feia > que el port forwarding no funciones correctament. El que tinc jo és un D-Link DSL-2740B que va amb Linux però la veritat és que va fatal, plè de bugs per tot arreu. No us el recomano. Ernest -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120110192901.GA1776@doriath.local
Re: configurar accés remot per ssh
On Tuesday 10 January 2012 13:22:40 Ernest Adrogué wrote: > És bona idea això > d'utilitzar un port no-estàndard, també em sembla recordar un sistema > per detectar intrusions que era enviar un e-mail des del > .bash_profile. Jo he arribat a la conclusió de que no paga la pena canviar de port: no és garantia de que no el trobin, cal documentar-ho, cal configurar les aplicacions que fan servir SSH per conectar, i cal que els firewalls que tinguis per mig et permetin conectar a aquest port "no estàndard" (quan ets "de visita" a una wifi sovint tens restringits els ports de destí). Els escaneigs de força bruta els pots evitar amb una eina com 'fail2ban' o 'denyhosts' que deia en Jordi(V). Permet N intents de connexió i a partir d'aquí rebutja les conexions des de la IP "sospitosa" (durant una estona). Aquest invent d'enviar un mail amb cada login... és una mica d'estar per casa, per dir-ho finament. :-) Sobretot quan aquesta informació ja es guarda als logs, independentment de amb quina shell entris. Si et sembla que et cal vigilar els logs, et recomano que facis una ullada a 'logcheck'. -- Jordi Funollet Pujol http://www.linkedin.com/in/jordifunollet -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/3687289.CZkNWOLR5X@suri
Re: configurar accés remot per ssh
Pere Nubiola Radigales Telf: +34 656316974 e-mail: p...@nubiola.cat pnubi...@fsfe.org pere.nubi...@gmail.com El 10 de gener de 2012 13:22, Ernest Adrogué ha escrit: > Gràcies pels comentaris. > > 10/01/12 @ 08:24 (+0100), Alex Muntada escriu: > > + hubble : > > > > > PORT STATESERVICE > > > 21/tcp filtered ftp > > > 22/tcp filtered ssh > > > 23/tcp filtered telnet > > > 80/tcp filtered http > > > > El «filtered» bàsicament vol dir que algú està descartant els paquets > > de connexió de l'ssh, bé sigui el router perquè no està fent el NAT > > que toca o bé perquè l'equip destí té configurades les iptables i > > descarta les connexions d'ssh. > > Entesos. Sembla que és el router que està mal configurat. > Pel que fa a la seguretat, en principi només s'hi ha de connectar > un usuari, que és l'únic autoritzat amb AllowUsers. És bona idea això > d'utilitzar un port no-estàndard, també em sembla recordar un sistema > per detectar intrusions que era enviar un e-mail des del > .bash_profile. > > Ernest > En un router de telefònica hem vaig trobar que el firewall bloquejava els prots 21,22,23 admetent sols algunes adreces Ip determinades. Lo que feia que el port forwarding no funciones correctament. > > > -- > To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > Archive: http://lists.debian.org/20120110122240.GA5097@doriath.local > >
Re: configurar accés remot per ssh
Gràcies pels comentaris. 10/01/12 @ 08:24 (+0100), Alex Muntada escriu: > + hubble : > > > PORT STATE SERVICE > > 21/tcp filtered ftp > > 22/tcp filtered ssh > > 23/tcp filtered telnet > > 80/tcp filtered http > > El «filtered» bàsicament vol dir que algú està descartant els paquets > de connexió de l'ssh, bé sigui el router perquè no està fent el NAT > que toca o bé perquè l'equip destí té configurades les iptables i > descarta les connexions d'ssh. Entesos. Sembla que és el router que està mal configurat. Pel que fa a la seguretat, en principi només s'hi ha de connectar un usuari, que és l'únic autoritzat amb AllowUsers. És bona idea això d'utilitzar un port no-estàndard, també em sembla recordar un sistema per detectar intrusions que era enviar un e-mail des del .bash_profile. Ernest -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120110122240.GA5097@doriath.local