Continuamos después de la primera parte. Generalmente los peligros de tener un servicio ssh abierto se resumen a ataques de fuerza bruta, es complicado que sea por un zero day. Para controlar los accesos fallidos existen multitud de herramientas y maneras de hacerlo, vamos a ver algunas de ellas.
Denyhosts
Denyhosts es un script en python que se dedica a inspeccionar los logs que genera el servidor de ssh para detectar que máquinas están intentando entrar fraudulentamente. Dependiendo de tu archivo de configuración de syslog (yo uso syslog-ng) estos datos pueden estar logeados en varios sitios pero sería común mirar en /var/log/auth.log, /var/log/messages ó /var/log/secure. Este script tiene en cuenta qué usuarios están siendo atacados y con qué frecuencia. Para impedirlo va actualizando dinámicamente el /etc/hosts.deny
Para la instalación es necesario que el paquete openssh se haya compilado con la flag tcpd
|
# echo “net-misc/openssh tcpd” >> /etc/portage/package.use # emerge -1 openssh # emerge -av tcp-wrappers denyhosts |
Modificamos /etc/denyhosts.conf para indicar cual es el log correcto donde mirar. La primera vez que lo ejecutemos:
|
# python2.4 /usr/bin/denyhosts.py –purge –noemail -c /etc/denyhosts.conf |
|
# rc-update add denyhosts default # /etc/init.d/denyhosts start |
SSHdFilter
También está destinado a prevenir ataques de fuerza bruta como denyhosts. SSHdfilter arranca y revisa los logs del servidor y para que funcione aparte de el servidor de ssh necesitamos un iptables funcional, es decir, si somos unos perros y en tal máquina en concreto no hay iptables usamos denyhosts y terminamos antes xD
La última vez instalé esta herramienta no estaba incluida en portage y había que bajarse el paquete, instalarlo a mano y hacer unas pequeñas modificaciones al script de inicio. A día de hoy he visto que hay un ebuild de sshdfilter para usarlo en tu overlay local. Ebuild es el nombre que se da en Gentoo al archivo que te permite instalar un paquete y un overlay es lo que se usa para instalar paquetes que no están en el árbol oficial. Para manejar los overlays yo siempre uso la herramiento layman, una vez bien configurado, instalamos el paquete:
|
# emerge sshdfilter |
Sshdfilter es quien se encarga de arrancar sshd, monitorizarlo y protegernos creando reglas de iptables. Como no tiene script de inicio de gentoo, lo que haremos será quitar sshd del arranque y modificarlo para nuestro propósito.
|
# cp /etc/init.d/sshd /etc/init.d/sshdfilter # nano -w /etc/init.d/sshdfilter |
Y modificamos la línea SSHD_BINARY=${SSHD_BINARY:-/usr/sbin/sshd} por SSHD_BINARY=${SSHD_BINARY:-/usr/sbin/sshdfilter}
Ahora configuraremos el servicio a nuestro gusto:
|
# emerge –config sshdfilter # nano -w /etc/sshdfilterrc |
Y dejamos el arranque bien configurado
|
#/etc/init.d/sshd stop # rc-update del sshd default #/etc/init.d/sshdfilter start # rc-update add sshdfilter default |
Para comprobar que todo funciona correctamente podemos fijarnos en los mensajitos que aparezcan por /var/log/message
|
# grep sshdfilt /var/log/messages |
Existen tropecientas soluciones más así que no me extenderé absurdamente. Véase: swatch, fail2ban, blockhosts, etc.
Otro día más que mañana tengo un examen de los clasificados como ‘muy chungo’
–
Fuente original en http://vierito.es/wordpress
Similar Posts:
- Dejar bonito un server SSH – Parte 1
- Crackeador de hashes MD5 en C y OpenSSL
- [Fprint] Lectores de huellas en linux
2 responses so far ↓
1 sergioMadrigal
// Apr 2, 2008 at 8:18 pm
Si tuviera una mínima idea, (mínima) de lo que estás hablando, igual te dejaba un comentario sagaz o gracioso al respecto.
Como no es así, te deseo la mejor de las suertes en los exámenes (si es que te quedan por hacer).
Un abrazote!
2 vierito5
// Apr 2, 2008 at 8:35 pm
Puff! Me hará falta así que gracias! Por de pronto me han crujido en SED y el viernes tengo campos.
Suerte en microondas
Leave a Comment