On Monday 06 February 2006 14:26, Rusyadi wrote: > sepertinya activitinya kayak brute force password gitu. keselnya, ada > sebagian user yg dia bisa login, meskipun user tersebut saya kasih dead > shell (istilah saya utk shell yang kalo masuk, gak bisa ngapa2xin, atau > hanya bisa exit doang).
Kalo sampe ada yg dia bisa login berarti either: - passwordnya kosong (asumsi "PermitEmptyPasswords yes" di sshd_config), - passwordnya mudah ditebak (pake yg "standard" kayak "admin", "123", ...), asumsinya authenticationnya pake password based (keliatan dr log). Cara memperketat antara lain: - pake "AllowUsers" di sshd_config, - disable password based authentication, dan perbolehkan hanya RSA dan/atau pubkey authentication - pelajari yg lainnya dr dokumentasi sshd (misalnya 'man sshd_config' kalo pake portable openssh) > 2. bagaimanya nyalain alertnya ya ? (via email dll) soalnya saya tidak > bisa 24 jam mantengin server Kalo bisa tindakannya proaktif dan preventif (sebelum), jauh lebih baik daripada pasif dan responsif (sesudah). Kalo tetap mau monitor log bisa search dg keywords antara lain logcheck, log analyzer, nagios, tenshi, swatch, wasabi, log monitoring. > 3. service ssh juga harus saya nyalain lagi buat monitoring, kalo > ngrubah port ssh dimana ya ? Emang diubah port bisa jadi lebih aman? "Security" by obscurity/obfuscation bukanlah security. Konfigurasi tergantung ssh server yg anda pake itu yg mana. Kalo pake portable openssh (kebanyakan pake ini) ada di /etc/ssh/sshd_config. PS. tolong lain kali subjectnya dibuat yg lebih jelas. Ronny
pgpKAFCiHWoAq.pgp
Description: PGP signature
