Hola a todos.
Esta es la primera vez que escribo en kriptópolis, aunque todos los días os visito.
La “historieta”, es que hace unos días tuve que montar en el servidor de mi casa un servidor (valga la redundancia) ssh y hacerlo público, pensando, iluso de mi, que sería la única persona que lo utilizaría.
A la mañana siguiente, sorprendido, encontré intentos de acceso, desde una ip procedente de china (actualmente un par de ips (de China, Turquía, Francia) tratan de probar por fuerza bruta combinaciones de usuario/password), me saltó la paranoia, pasé un mal rato revisando logs, y verificando lo que mis conocimientos dan de si, por si alguien se hubiera entrado.
Ya más tranquilo y sereno empecé a revisar configuraciones para incrementar la seguridad de SSH, para ver si alguna se podía aplicar para fortalecer mi servidor y hacerlo más resistente a posibles ataques/intrusiones.
Aquí os dejo las que considero esenciales:
#Prohibir que el usuario root use el servicio ssh
PermitRootLogin no
#No se permiten passwords en blanco
PermitEmptyPasswords no#Permitir solo el acceso mediante el uso de claves publico/privadas
PasswordAuthentication no#Ajustar los usuarios que pueden hacer uso del servicio SSH
AllowUsers usuario1 usuario 2#Ajustar el tiempo de inactividad del usuario
ClientAliveInterval 300
ClientAliveCountMax 0
Y alguna pregunta, para ver si toda esta historieta sirve para que aprendamos algo.
¿Se os ocurre alguna opción de configuración para el servicio ssh adicional?
¿Cómo revisáis la actividad de los usuario dentro del servidor, si están dentro que es lo que hacen/han hecho?
Aparte de un firewall bien configurado, ¿qué consejos daríais para mejorar la seguridad?.
¿Alguno ha usado un detector de intrusiones, para mejorar la seguridad?. Y, ¿cuál ha sido su experiencia con él?
Bibliografía
Configuración ssh.
[ http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practic... ]
Snort
[www.snort.org ]
Un saludo a todos
Caxorrin
Todos los servidores son apetecibles
Texpaok14 Diciembre 2010 - 11:44am
Cualquier servidor que montes siempre será apetecible: envío de spam, acceso a datos privados, etc. son algunas de las "motivaciones" que pueden tener tus atacantes.
Yo he montado varios IDS con Snort y te puedo asegurar que los atacantes intentan de todo. A modo de ejemplo, puedes mirar estas entradas en mi blog, en la que configuré un honeypot al que añadí Snort para monitorizar los distintos ataques sobre una red simulada:
http://www.protegetuordenador.com/index.php/blog/10-blog/627-montando-un-honeypot-i-de-ii.html
http://www.protegetuordenador.com/index.php/blog/10-blog/628-montando-un-honeypot-ii-de-ii.html
Si montas un IDS vas a aprender muchísimo, ya que vas a evaluar los ataques REALES que realizan para intentar evadir tus defensas, aunque para ello hay que tener unos buenos conocimientos de los protocolos de red (TCP/IP, UDP...) y dedicar tiempo a configurar correctamente el IDS.
En cuanto a las medidas de seguridad, aparte de las que has citado yo te recomendaría estar al tanto de las nuevas versiones que aparezcan de tu aplicación, porque lo primero que hará un atacante es intentar explotar alguna vulnerabilidad en tu servicio. Además, podrías cambiar el puerto por defecto (http://www.administrarservidor.com/2009/01/27/seguridad-para-ssh-%E2%80%93-cambio-del-puerto-de-conexion-por-defecto/) y bloquear direcciones IP tras un número determinado de intentos de acceso (http://es.kioskea.net/faq/5212-proteger-el-acceso-por-ssh)
Un saludo.
Agradecido
caxorrin14 Diciembre 2010 - 8:45pm
Mil gracias por la info, lo tendré muy en cuenta. Pero por ahora por falta de tiempo creo que el montaje de un IDS o una DMZ, van para largo. Por ahora solo he podido montar denyhosts para parar los ataques de fuerza bruta.
Un saludo
Caxorrin