Re: Millorar la seguretat ssh d'un servidor
Adrià: Això és el que es denomina security through obscurity, i simplement pot fer desisitir aquells qui estan avorrits i pretenen entretenir-se ficant el nas o no toca; els qui vulguin entrar realment (i tinguin coneixements), simplement els suposarà un repte més. És cert que canviar el port no et protegeix d'algú que tingui un interès especial en el teu servidor perquè amb un simple nmap o amb qualsevol programet podrà trobar el port del servidor SSH sense gaires dificultats. Tot i això, permeteu-me que afegeixi la resposta que vaig donar en un fil similar a la llista d'ubuntaires fa algunes setmanes... «Jo era dels que pensava que canviar el port no servia per a res perquè escanejar els ports d'un servidor per trobar on està l'sshd és trivial. Però després de veure centenars d'atacs per força bruta al port 22 protegit pel fail2ban, vaig decidir provar a canviar de port. He de confessar que, per a sorpresa meva, els atacs van desaparèixer totalment. Això només s'explica perquè la majoria dels atacants són mandrosos i no es preocupen de buscar altres ports, tret que el servidor sigui un objectiu més interessant. »Així que el millor consell que et puc donar en aquest sentit és que, si només tu o un grup reduït de persones sou els que utilitzareu el servei d'ssh, provis a canviar el port. Si vols comparar, deixa una temporada el port 22 i dóna prou temps a què el teu servidor entri a la llista dels atacants i un cop vegis els atacs, prova a canviar el port i mira si hi ha diferència.» Dit això, recentment he descobert que les versions més noves del fail2ban tenen unes regles molt interessants que examinen els logs del propi fail2ban i bloquegen durant més temps les adreces IP que són bloquejades sovint. És el que s'anomena «recidive», que vindria a voler dir reincident. Salut, Alex -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/cagq+ubpwbnpfpqheqmu+b6fuwizvf7ur_6fwzeyjbzy5e1l...@mail.gmail.com
Re: Millorar la seguretat ssh d'un servidor
En aquest enllaç hi ha alguns trucs senzills http://thepcspy.com/read/making-ssh-secure/?utm_source=feedburnerutm_medium=feedutm_campaign=Feed%3A+OliUbuntu+%28Oli%27s+blog%29 Salut! El dia 27 novembre de 2014, 21:54, Adrià ad...@fsfe.org ha escrit: On Thu, Nov 27, 2014 at 04:40:31PM +0100, Joan Cervan i Andreu wrote: Hola, He trobat aquest article, i em pregunto si alguna o tots els suggeriments que fan per millorar la seguretat del servidor son interessants/recomanables: http://lamiradadelreplicante.com/2014/11/25/como-mejorar-la-seguridad-ssh-en-tu-servidor/ Pots buscar per 'hardening' per trobar altres aproximacions. La NSA (a la qual aprofito per saludar, ja que segur que ens estan llegint ;-) ha publicat guies de hardening per a RedHat/CentOS, de les quals podries extreure'n idees i adaptar-ne les configuracions per a Debian. Són llargues i paranoiques, però se n'aprèn. L'altre dia un amic em parlava de canviar el port que usa el servidor web per escoltar, el 80, i que amb això ja es guanya molt... Jo estava rumiant Això és el que es denomina security through obscurity, i simplement pot fer desisitir aquells qui estan avorrits i pretenen entretenir-se ficant el nas o no toca; els qui vulguin entrar realment (i tinguin coneixements), simplement els suposarà un repte més. Sense anar més lluny, també pots buscar articles sobre port knocking (no és la solució, però sempre m'ha fet gràcia aquest plantejament; el trobo original). -- Adrià García-Alzórriz 0x09494C14 Para conducir el gobierno de un Estado debe existir una religiosa atención hacia los negocios y la buena fe, ahorratividad en los gastos y amor por el pueblo. -- Confucio. (551-479 a.C.) Filósofo y estadista chino.
Millorar la seguretat ssh d'un servidor
Hola, He trobat aquest article, i em pregunto si alguna o tots els suggeriments que fan per millorar la seguretat del servidor son interessants/recomanables: http://lamiradadelreplicante.com/2014/11/25/como-mejorar-la-seguridad-ssh-en-tu-servidor/ L'altre dia un amic em parlava de canviar el port que usa el servidor web per escoltar, el 80, i que amb això ja es guanya molt... Jo estava rumiant si la darrera vulnerabilitat de Drupal, que s'ha extés com la polvora, s'hagués evitat en bona part, simplement escoltant en un altre port... (clar que si el dimoni que ataca un site usa el domini en comptes de la IP, o simplement es fa una petició http, possiblement no serveix aquesta mesura, oi??) Què en penseu? Fins ara, -- Joan Cervan i Andreu www.calbasi.net ~ Desenvolupament web -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/547745ef.1000...@calbasi.net
Re: Millorar la seguretat ssh d'un servidor
Hola, No he llegit l'article encara pero normalment en desactivar l'autenticacio per password, nomes deixar l'autenticacio per clau ssh i desactivar el login del compte (signe d'exclamacio al fitxer /etc/shadow) ja tens molt de guanyat. Salut! El dia 27/11/2014 16:51, Joan Cervan i Andreu j...@calbasi.net va escriure: Hola, He trobat aquest article, i em pregunto si alguna o tots els suggeriments que fan per millorar la seguretat del servidor son interessants/recomanables: http://lamiradadelreplicante.com/2014/11/25/como-mejorar- la-seguridad-ssh-en-tu-servidor/ L'altre dia un amic em parlava de canviar el port que usa el servidor web per escoltar, el 80, i que amb això ja es guanya molt... Jo estava rumiant si la darrera vulnerabilitat de Drupal, que s'ha extés com la polvora, s'hagués evitat en bona part, simplement escoltant en un altre port... (clar que si el dimoni que ataca un site usa el domini en comptes de la IP, o simplement es fa una petició http, possiblement no serveix aquesta mesura, oi??) Què en penseu? Fins ara, -- Joan Cervan i Andreu www.calbasi.net ~ Desenvolupament web -- To UNSUBSCRIBE, email to debian-user-catalan-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/547745ef.1000...@calbasi.net
Re: Millorar la seguretat ssh d'un servidor
On Thu, Nov 27, 2014 at 04:40:31PM +0100, Joan Cervan i Andreu wrote: Hola, He trobat aquest article, i em pregunto si alguna o tots els suggeriments que fan per millorar la seguretat del servidor son interessants/recomanables: http://lamiradadelreplicante.com/2014/11/25/como-mejorar-la-seguridad-ssh-en-tu-servidor/ Pots buscar per 'hardening' per trobar altres aproximacions. La NSA (a la qual aprofito per saludar, ja que segur que ens estan llegint ;-) ha publicat guies de hardening per a RedHat/CentOS, de les quals podries extreure'n idees i adaptar-ne les configuracions per a Debian. Són llargues i paranoiques, però se n'aprèn. L'altre dia un amic em parlava de canviar el port que usa el servidor web per escoltar, el 80, i que amb això ja es guanya molt... Jo estava rumiant Això és el que es denomina security through obscurity, i simplement pot fer desisitir aquells qui estan avorrits i pretenen entretenir-se ficant el nas o no toca; els qui vulguin entrar realment (i tinguin coneixements), simplement els suposarà un repte més. Sense anar més lluny, també pots buscar articles sobre port knocking (no és la solució, però sempre m'ha fet gràcia aquest plantejament; el trobo original). -- Adrià García-Alzórriz 0x09494C14 Para conducir el gobierno de un Estado debe existir una religiosa atención hacia los negocios y la buena fe, ahorratividad en los gastos y amor por el pueblo. -- Confucio. (551-479 a.C.) Filósofo y estadista chino. signature.asc Description: Digital signature