Re: configurar accés remot per ssh
Gràcies pels comentaris. 10/01/12 @ 08:24 (+0100), Alex Muntada escriu: + hubble hub...@telefonica.net: PORT STATE SERVICE 21/tcp filtered ftp 22/tcp filtered ssh 23/tcp filtered telnet 80/tcp filtered http El «filtered» bàsicament vol dir que algú està descartant els paquets de connexió de l'ssh, bé sigui el router perquè no està fent el NAT que toca o bé perquè l'equip destí té configurades les iptables i descarta les connexions d'ssh. Entesos. Sembla que és el router que està mal configurat. Pel que fa a la seguretat, en principi només s'hi ha de connectar un usuari, que és l'únic autoritzat amb AllowUsers. És bona idea això d'utilitzar un port no-estàndard, també em sembla recordar un sistema per detectar intrusions que era enviar un e-mail des del .bash_profile. Ernest -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120110122240.GA5097@doriath.local
Re: configurar accés remot per ssh
Pere Nubiola Radigales Telf: +34 656316974 e-mail: p...@nubiola.cat pnubi...@fsfe.org pere.nubi...@gmail.com El 10 de gener de 2012 13:22, Ernest Adrogué nfdi...@gmail.com ha escrit: Gràcies pels comentaris. 10/01/12 @ 08:24 (+0100), Alex Muntada escriu: + hubble hub...@telefonica.net: PORT STATESERVICE 21/tcp filtered ftp 22/tcp filtered ssh 23/tcp filtered telnet 80/tcp filtered http El «filtered» bàsicament vol dir que algú està descartant els paquets de connexió de l'ssh, bé sigui el router perquè no està fent el NAT que toca o bé perquè l'equip destí té configurades les iptables i descarta les connexions d'ssh. Entesos. Sembla que és el router que està mal configurat. Pel que fa a la seguretat, en principi només s'hi ha de connectar un usuari, que és l'únic autoritzat amb AllowUsers. És bona idea això d'utilitzar un port no-estàndard, també em sembla recordar un sistema per detectar intrusions que era enviar un e-mail des del .bash_profile. Ernest En un router de telefònica hem vaig trobar que el firewall bloquejava els prots 21,22,23 admetent sols algunes adreces Ip determinades. Lo que feia que el port forwarding no funciones correctament. -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120110122240.GA5097@doriath.local
Re: configurar accés remot per ssh
On Tuesday 10 January 2012 13:22:40 Ernest Adrogué wrote: És bona idea això d'utilitzar un port no-estàndard, també em sembla recordar un sistema per detectar intrusions que era enviar un e-mail des del .bash_profile. Jo he arribat a la conclusió de que no paga la pena canviar de port: no és garantia de que no el trobin, cal documentar-ho, cal configurar les aplicacions que fan servir SSH per conectar, i cal que els firewalls que tinguis per mig et permetin conectar a aquest port no estàndard (quan ets de visita a una wifi sovint tens restringits els ports de destí). Els escaneigs de força bruta els pots evitar amb una eina com 'fail2ban' o 'denyhosts' que deia en Jordi(V). Permet N intents de connexió i a partir d'aquí rebutja les conexions des de la IP sospitosa (durant una estona). Aquest invent d'enviar un mail amb cada login... és una mica d'estar per casa, per dir-ho finament. :-) Sobretot quan aquesta informació ja es guarda als logs, independentment de amb quina shell entris. Si et sembla que et cal vigilar els logs, et recomano que facis una ullada a 'logcheck'. -- Jordi Funollet Pujol http://www.linkedin.com/in/jordifunollet -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/3687289.CZkNWOLR5X@suri
Re: configurar accés remot per ssh
10/01/12 @ 13:44 (+0100), Pere Nubiola Radigales escriu: En un router de telefònica hem vaig trobar que el firewall bloquejava els prots 21,22,23 admetent sols algunes adreces Ip determinades. Lo que feia que el port forwarding no funciones correctament. El que tinc jo és un D-Link DSL-2740B que va amb Linux però la veritat és que va fatal, plè de bugs per tot arreu. No us el recomano. Ernest -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120110192901.GA1776@doriath.local
Re: configurar accés remot per ssh
10/01/12 @ 16:57 (+0100), Jordi Funollet escriu: Jo he arribat a la conclusió de que no paga la pena canviar de port: no és garantia de que no el trobin, cal documentar-ho, cal configurar les aplicacions que fan servir SSH per conectar, i cal que els firewalls que tinguis per mig et permetin conectar a aquest port no estàndard (quan ets de visita a una wifi sovint tens restringits els ports de destí). Per ara l'única persona que es connectarà sóc jo amb el client ssh per tant tampoc crec que sigui massa problemàtic. Els escaneigs de força bruta els pots evitar amb una eina com 'fail2ban' o 'denyhosts' que deia en Jordi(V). Permet N intents de connexió i a partir d'aquí rebutja les conexions des de la IP sospitosa (durant una estona). Ben bé força bruta no n'he trobat cap, només intents de login com a root (que no està permès) però sembla que desisteixen bastant ràpid. Si veig que va a més potser sí que hauré de prendre mesures. Aquest invent d'enviar un mail amb cada login... és una mica d'estar per casa, per dir-ho finament. :-) Sobretot quan aquesta informació ja es guarda als logs, independentment de amb quina shell entris. Si et sembla que et cal vigilar els logs, et recomano que facis una ullada a 'logcheck'. Sí, és un invent bastant cutre però funciona :) En els logs es guarda la informació, però clar els logs estan en el mateix ordinador. Si l'intrús aconsegueix escalar privilegis (o com es digui :) pot borrar els logs. A part que tampoc els miro. En canvi si s'envia automàticament un mail a un compte de gmail per ex. això no té manera d'evitar-ho, en principi, i es veu de seguida. Diguem que és com una alarma. Si tens molts usuaris suposo que no és pràctic, però com que només sóc jo sol i em connecto per ssh potser 2 cops a la setmana com a molt, es pot fer. -- Jordi Funollet Pujol http://www.linkedin.com/in/jordifunollet -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/3687289.CZkNWOLR5X@suri -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120110194746.GB1776@doriath.local