Guia de Instalacion de ispCP Rc3!

[Estudios Castro]

Eh Hecho una guia mas o menos del principio por ahora, se ira editando para ver entera esta con los Codigos y todo.
Ver Guia

Guia de Proteccion de los Ataques SSH a tu Servidor.Protegete
Como protegernos de ataques de autenticacion de SSH
Posteado en Debian, Ubuntu, Seguridad por situ el 27 de June de 2007

Últimamente estamos publicando información mas que nada relacionada con la seguridad de la información, así que por ese motivo creamos este articulo.

En este caso vamos hablar sobre los intentos no autorizados a nuestro servidor sobre el protocolo SSH, estos intentos los podemos chequear mirando el archivo /var/log/auth.log donde podemos encontrar algunas lineas como las que exponemos debajo:

Jun 27 00:09:12 tuX sshd[22946]: (pam_unix) check pass; user unknown

Jun 27 00:09:12 tuX sshd[22946]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=marcos

Jun 27 00:09:13 tuX sshd[22942]: error: PAM: User not known to the underlying authentication module for illegal user marcos from marcos

Jun 27 00:09:13 tuX sshd[22942]: Failed keyboard-interactive/pam for invalid user marcos from 192.168.1.10 port 63156 ssh2

Nosotros utilizaremos en este articulo el script “DenyHosts�?, el cual analiza estos intentos y según su configuración comienza a bloquear las direcciones IP’s que cree que nos están atacando.

. Instalación:

# apt-get install denyhosts

. Comprobación de archivos:

El siguiente paso es comprobar si tenemos estos 2 archivos, los cuales son utilizados por el script.

/etc/hosts.allow

/etc/hosts.deny

Si no poseemos dichos archivos los vamos a crear de la siguiente forma:

# touch /etc/hosts.allow

# touch /etc/hosts.deny

. Configuración:

El archivo de configuración es :

/etc/denyhosts.conf

aquí es donde debemos setear la cantidad de intentos que deben pasar para bloquear las ips.

Configuración:

SECURE_LOG = /var/log/auth.log # Utilizamos este archivo porque corremos el script en debian

HOSTS_DENY = /etc/hosts.deny # Archivo donde se guardaran las IPS a bloquear

DENY_THRESHOLD_INVALID = 5 # Cantidad de intentos fallidos con un usuario que no existe en el sistema

DENY_THRESHOLD_VALID = 10 # Cantidad de intentos fallidos con un usuario que existe en nuestro sistema

DENY_THRESHOLD_ROOT = 1 # Cantidad de intentos fallidos utilizando el usuario root

DENY_THRESHOLD_RESTRICTED = 1

BLOCK_SERVICE = sshd # Aquí indicamos el servicio que se bloqueara a las direcciones IP’s .

DAEMON_LOG = /var/log/denyhosts # Archivo donde se guardaran los Log’s del script.

Vamos a ver que tenemos mas configuraciones como ser de envió de correo entre otras, pero no serán expuestas en este articulo.

. START / STOP del Script.

Para iniciar el script usamos : /etc/init.d/denyhosts start

Para stopear el script usamos: /etc/init.d/denyhosts stop

Listo