Attacchi su porta ssh

[Micky Del Favero]

Marco Bisetto writes:

> La faccenda non va certo presa sottogamba. Qualcuno ha gia` esperienze 
> in merito?

Sì io. Questi tipi di attacco sono partiti più di un anno fa, almeno
verso i miei server, ne ricevo moltissimi ogni giorno e non c'è modo di
bloccarli se non chiudendo ssh, ma se ti serve ssh, come a me, ti tocca
tenerti questi attacchi, puoi però rendere la vita dura agli attaccanti:

   · il firewall lascia passare ssh per  tutte le macchine solo se
     la richiesta proviene da IP sicuri.
   · ssh proveniente da qualsiasi IP viene lasciato passare solo verso
     una macchina su cui hai iptables che blocca l'accesso per 60
     secondi dopo il primo tentativo (se sbagli la password aspetti un
     minuto ed entri, se invece è uno script questo desiste entro il
     minuto perché DROPPi le connessioni e capisce che non ne vale la
     pena, a meno che non becchi la password al primo colpo, ma allora
     significa che devi bastonare i tuoi utenti perché scelgono password
     idiote e installare le cracklib :-) ):
       iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
       iptables -A INPUT -p tcp --dport ssh -m recent --update --seconds \
         60 -j DROP 
       iptables -A INPUT -p tcp --dport ssh --tcp-flags syn,ack,rst syn \
         -m recent --set -j ACCEPT 
   · se puoi permettertelo, fai in modo che ssh accetti connessioni solo
     tramite chiave, così gli attaccanti possono provare tutte le
     password ma mai entreranno :-)

Ciao, Micky
-- 
Micky Del Favero  micky@mesina.net   micky@linux.it
Linux Registered User #78384 http://counter.li.org/