OVH Community, your new community space.

actualizar OpenSSH


josu
30/04/2008, 11:48
Si no tienes IP fija no es recomendable que restrinjas por IP.

Añade en el archivo "/etc/sshd/sshd_config" una directiva "AllowUsers" con los usuarios que quieras que tengan acceso al sistema. Ponles una buena clave y no te preocupes por esos ataques.

Si te molesta mucho ver esos ataques en los logs, haz como te han comentado algunos compañeros, cambia el puerto o usa "fail2ban".

Josu.

ferranvillalba
26/04/2008, 18:56
Cita Publicado inicialmente por Raul
Además el cambio de puerto se termina pillando en no demasiado tiempo.. lo ideal es primero comprobar el cambio de tu IP. A gente (me incluyo) le cambia la ip solo los ultimos numeros (sigue siendo util para bloquear) si te cambian todos los numeros, ahi ya no. Me refiero a Subred.

Resumiendo, en conjunto seria algo asi:
- Autorizar solo tu IP.
- Cambiar puerto.
- Cambia la firma (como dijo shuugo).

Saludos.
Raul no es recomendable autorizar solo una ip y menos si es dinámica, si es estática ya es otro tema, aunque tampoco se aconseja. Lo ideal es cambiar el puerto predeafault.

pedrito
25/04/2008, 10:13
Pon en el ssh:
yum update openssh-server -y
yum update openssh-clients -y

Saludos!

Gura
23/04/2008, 09:07
Que recibas ataques de fuerza bruta no significa que su OpenSSH sea vulnerable. La mayoría de las veces estos ataques son efectuados por robots que buscan el 22, 222, y 2222 segun un estudio que se hizo en securityfocus. Yo lo tengo en otro puerto y si me escaneas enterito darás con él, pero yo no recibo ese tipo de ataques. Por otro lado, la clave RSA es para autenticar mediante clave publica. Está muy bien si siempre conectas desde tu portatil, ya que la "medida de proteccion" es evitar accesos por contraseña, y si en el equipo no tienes la clave privada, no podrás entrar. Las claves se pueden proteger con una contraseña para que, si fuese necesario la llevases en un pendrive. De todos modos, en mi opinión es un riesgo innecesario.

Por otro lado está fail2ban, un software que lee los logs del sistema y en base a patrones, bloquea la IP. Puede trabajar con servidores FTP, web, ssh, etc, y si se encuentra un patrón más de X veces, por ejemplo, 3, se lanza una regla IPTables (firewall) que bloquea el acceso a ese puerto.

Otro, más viejo y que me gusta menos, es portsentry, que es una especie de honeypot. Este demonio escucha en el puerto que le digas, el 22 por ejemplo. TU, y solo TU sabes que ssh está en el puerto 14789, pero si alguien conecta al 22... extraño. Pues en base a una conexión a determinado puerto bloquea el host de origen mediante iptables.

Evita que se pueda conectar directamente como root:
RootLogin no

(La idea es conectar como otro usuario, que no sea abvio, como "admin" y luego utilizar su/sudo)

A mi el que más me gusta es fail2ban. Restringir solamente desde una dirección IP es bastante arriesgado.

Alexpi
22/04/2008, 15:07
seria posible restringir el acceso a una direccion de noip? asi no afectaria q se me cambiase.

Y sobre la firma RSA... que es eso? :P

Raul
22/04/2008, 11:14
Además el cambio de puerto se termina pillando en no demasiado tiempo.. lo ideal es primero comprobar el cambio de tu IP. A gente (me incluyo) le cambia la ip solo los ultimos numeros (sigue siendo util para bloquear) si te cambian todos los numeros, ahi ya no. Me refiero a Subred.

Resumiendo, en conjunto seria algo asi:
- Autorizar solo tu IP.
- Cambiar puerto.
- Cambia la firma (como dijo shuugo).

Saludos.

Shuugo
22/04/2008, 01:33
Cita Publicado inicialmente por Alexpi
si cambio el puerto por defecto, no tendra problemas Plesk para conectar con el servidor?
Ah, ahi me has pillado. Deberias mirar la documentación oficial para ver si afecta el cambio, pero me imagino que no

Alexpi
22/04/2008, 00:36
si cambio el puerto por defecto, no tendra problemas Plesk para conectar con el servidor?

Shuugo
21/04/2008, 23:15
Cambia el puerto por defecto y cambia a la identificacion por firma RSA

Alexpi
21/04/2008, 22:52
me temo que es dinamica. Cambia cada mucho pero aun asi....

Raul
21/04/2008, 22:49
Si cuentas con ip estática, bloquea el acceso global al SSH y autoriza solo tu IP (usando iptables).

Saludos.

Alexpi
21/04/2008, 22:40
resulta que mi dedicado tiene una version de openSSH la cual tiene varias vulnerabilidades.

Me gustaria saber como se puede actualizar a la version 4.4 o superior.

esta preocupacion viene debido a que he visto en /var/log/secure que todos los dias tengo varios intentos de conexxion por ssh.... y no me hacen ninguna gracia :P

Tengo un ssoo linux Plesk 8.0

Un saludo