PplWare Mobile

DenyHosts – Proteja o seu servidor de ataques via SSH

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Pinto


  1. Cagamelo Voador says:

    Útil… 🙂 Obrigado.

  2. Duarte Mechas says:

    Aconselho a dar uma olhada no Fail2Ban. Muito bom!
    http://www.fail2ban.org/wiki/index.php/Main_Page

  3. Rui Costa says:

    Segurança acima de tudo. Tenho utilizadores que me solicitam a possibilidade alterarem as suas senhas mas umas mais “memorizaveis”, mas devido á segurança que imponho aos meus servidores isso será impossível de acontecer.

  4. Nuno Mendes says:

    Boa recomendação Pedro. Ataques (ou tentativas) de tipo bruteforce em SSHd estam sempre a acontecer.

  5. bintoito says:

    Boas,
    Aproveito o tópico para colocar uma questão:
    Tenho DD-WRT (não me recordo agora da v específica, se não for a última há.de ser das + recentes pq é de meados do mês passado) num Asus RT-N13U rev B1.
    Tenho disabled todas as hipóteses de acesso a partir da WAN tipo telnet, ssh, admin etc e tal, contudo ao correr o GRC Shields Up tenho sempre a porta 80 visível (as restantes “common ports” estão stealth).
    Não percebendo puto de comandos, apenas contando já com alguns anos de experiência empírica a configurar routers, que fazer para ter td stealth?
    Toda e qualquer sugestão é mt bem-vinda!

  6. José Maria Oliveira Simões says:

    Para fazer face ao problema descrito, pode inserir estas instruções no iptables. A vantagem é que a porta é fechada durante um certo tempo. Depois, a porta volta a ser aberta automaticamente. Na pratica, ajuda a que não se seja vitima de DOS, pois, passado o tempo estipulado, a porta é aberta. Isto é o que se chama, o inferno dum cracker, pois, não consegue entrar, nem consegue fazer um ataque DOS.

    # Bloqueia crackers a tentar penetrar no sistema

    /sbin/iptables -N SSH
    /sbin/iptables -N SSH_ABL
    /sbin/iptables -A SSH -m recent –name SSH_ABL –update –seconds 3600 -j REJECT
    /sbin/iptables -A SSH -m recent –name SSH –rcheck –seconds 60 –hitcount 5 -j SSH_ABL
    /sbin/iptables -A SSH_ABL -m recent –name SSH_ABL –set -j LOG –log-level warn –log-prefix “ABL: +SSH: ”
    /sbin/iptables -A SSH_ABL -j REJECT
    /sbin/iptables -A SSH -m recent –name SSH –rcheck –seconds 2 -j LOG –log-level warn –log-prefix “RATE: ”
    /sbin/iptables -A SSH -m recent –name SSH –update –seconds 2 -j REJECT
    /sbin/iptables -A SSH -m recent –name SSH_ABL –remove -j LOG –log-level warn –log-prefix “ABL: -SSH: ”
    /sbin/iptables -A SSH -m recent –name SSH –set -j ACCEPT
    /sbin/iptables -A INPUT -m state –state NEW -p tcp -m tcp –dport 22 -j SSH

    # Protecao contra Ataques DoS

    /sbin/iptables -A INPUT -m state –state INVALID -j DROP
    /sbin/iptables -A OUTPUT -p tcp ! –tcp-flags SYN,RST,ACK SYN -m state –state NEW -j DROP

  7. Nelson N says:

    Uma dúvida: por defeito não é instalado não é verdade?
    E no caso de ser instalado, como se desactiva ou elimina?
    obrigado

  8. brucetuga says:

    interessante o aplicativo mas para administradores de sistemas não é mais fácil redireccionar um porto xxxx para o porto 22?

  9. Deus says:

    Muito útil, logo agora que estou a aprender a trabalhar com servidores por ssh 😀

  10. Roy says:

    Ainda bem que não percebo nada disso… mas com chaves públicas RSA (com 4096 bits de preferência) ou EC de 521 bits, isso não era mais seguro? Além de confirmar que estão se a ligar ao servidor correcto.
    E claro mudar o porto de ligação.. óbviamente.

    • José Maria Oliveira Simões says:

      Ponhamos as coisas neste pé. Você não quer que nenhum “indesejável” entre na sua casa. Portanto, para resolver e prevenir esse problema, compra a tal fechadura toda xpto e monta-a na porta da rua. No entanto, você continua a deixar as janelas da sua casa escancaradas. E diz, “bem … o problema está resolvido”. O tal “indesejável”, sabe que você é um homem precavido, pois, homem prevenido, vale por dois. O tal “indesejável”, que por sinal não é estúpido, põe-se logo a magicar uma maneira de entrar na sua casa. E pensa com os botões dele, “diacho, como é que vou conseguir entrar ?” Então ele repara nas janelas abertas e entra a sua casa, sem ser convidado. Como vê, é o eterno jogo, uns a querer proteger os seus bens e outros a tentar arranjar maneira de lhe deitar a mão. E olhe, que tempo e imaginação, não falta a estes indivíduos.

  11. Obrigado pela dica Pedro Pinto.

    Já agora, deixo o meu parecer relativamente a autenticação baseada em password: Por si só é uma falha de segurança. Autenticação com chaves privadas e publicas sempre dificulta ainda mais a vida de utilizadores mal intencionados, espreitem aqui http://www.debian-administration.org/articles/530

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.