[LUG.ro] De DNS y reforzar seguridad en servicio ssh

[Sebastian Dominguez]

El día 17 de diciembre de 2009 15:39, "Sebastián D. Criado"
<sebastian.criado en gmail.com> escribió:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> El 17/12/09 15:29, Sebastian Dominguez escribió:
> | El día 16 de diciembre de 2009 11:42, Diego H.Cancelo
> | <dhcancelo en gmail.com> escribió:
> |> El día 16 de diciembre de 2009 11:34, "Sebastián D. Criado"
> |> <sebastian.criado en gmail.com> escribió:
> |>> Dos sugerencias simples:
> |>>
> |>> * Usar AllowUsers
> |>> * Usar Denyhost o fail2ban
> |>>
> |> +1 a flail2ban !!! Me anda de diez :)
> |>
> |
> | +1 a iptables limit que es a lo que me refería.
> |
> | Allow user hace poco en contra de los ataques de fuerza bruta. El tipo
> | puede seguir probando igual. IMHO prefiero cortar las cosas de raiz.
>
> iptables limit hace poco contra de los ataques de fuerza bruta
> si los mismos son tan lentos que no los frenas con esa herramienta. Se
> puede intentar muy lentamente y no te darías cuenta.
> En cambio si mete mal la clave, se lo filtra y listo.
>

Yo hable de AllowUsers, por lo general no hablo de lo que no conozco
hasta que lo investigo.

Un ataque por fuerza bruta tan lento no tiene demasiado sentido. Si
averiguar una clave de 6 caracteres le lleva un año y vos cambias la
pass por mes... por citar un ejemplo.

AllowUser es un parámetro mas administrativo. A mi entender poco
proactico. Si tenes cuetna en el sistema, seguro necesitas ssh. si el
usuario no necesita shell, no debería tenerla definida en passwd.

Por ultimo, volviendo al limit. Los robots que estan dando vueltas
prueban ips al azar si encuentrn el puerto cerrado no vuelven a
intentar en 15 minutos ;)
Puedo facilitarte estadisticas de como han disminuido los ataque con
esta practica.

Salu2