Proteger acceso ssh

[alobonzo]

Buenas,

Hace poco que empece con Raspbian, y una de las cosas que me interesaba era conectarme desde fuera, en fin para proteger un poco de "ataques" al ssh (hubo días que llegaron a los 600), utilice esta guía, por si os interesa

http://maauso.com/iptables-bloqueos-de-ataques/

[actkk2000]

Muchas gracias!

Slds!

[raspdroid]

(hubo días que llegaron a los 600)

Prueba con

sudo ufw limit ssh

También eliminar el acceso con password ayuda.

Esta es una buena guía y vale para Raspbian. https://help.ubuntu.com/community/SSH/O ... onfiguring

Saludos

[Cefiro]

Hola.

Todo lo que decís está muy bien, ya que cuantas más barreras se pongan, mejor; pero un usuario novato seguramente no querrá complicarse tanto la vida, y menos con iptables, que es muy difícil de entender para quien no está familiarizado con él. Con cambiar el puerto por defecto, ya se evita el 99,9% de los ataques. Así de sencillo, y de efectivo. Y si no, probadlo y veréis. http://www.rpi.uroboros.es/segurid.html#3

Saludos.
----------
Mi web sobre la RasPi: http://rpi.uroboros.es

[raspdroid]

Por eso existe UFW, es más sencillo de utilizar.

Lo que comentas 'no sirve para nada', te lo aseguro. Yo lo tenía así en un servidor web dedicado y entraron.

Me hizo un deface e instaló un rootkit, su objetivo no era destruir nada porque si lo hubiere querido lo hubiere hecho, lo que hizo fue dejarse ver y dejar una puerta trasera para volver a entrar.

Por un tiempo eliminé el servidor ssh ahora lo he vuelto a abrir pero con otras configuraciones para hacerlo trabajar un poco si quiere volver. De momento lo sigo esperando, a ver si tengo suerte y encuentra algo mejor que hacer y se olvida de mí.

Saludos

[Cefiro]

Hola.

Por eso existe UFW, es más sencillo de utilizar.

Desde luego, por eso a UFW le dedico todo un apartado en mi web. La pena es que la gente cree que Linux no necesita un firewall y se equivocan de pleno.

Lo que comentas 'no sirve para nada', te lo aseguro. Yo lo tenía así en un servidor web dedicado y entraron. Me hizo un deface e instaló un rootkit, su objetivo no era destruir nada porque si lo hubiere querido lo hubiere hecho, lo que hizo fue dejarse ver y dejar una puerta trasera para volver a entrar.

Lo que comento a mí me sirve absolutamente. Llevo tres años con el servidor SSH en funcionamiento (24/7 casi todo el tiempo), con el puerto cambiado (y las otras pequeñas medidas que comento en el enlace) y no he tenido NI UN SOLO INTENTO DE ENTRADA, y lo sé porque miro los logs periódicamente y chequeo el sistema en busca de intrusiones. Con un escáner de puertos se puede averiguar el puerto, desde luego, pero eso requiere trabajo y tiempo extra y a la mayoría de intrusos eso no les merece la pena. Y para eso están las demás medidas, por si alguien averigua el puerto.

Si a ti te entraron, entonces deberías plantearte averiguar dónde está el punto débil de tu sistema y añadir otras medidas más de seguridad. Aquí te pongo un buen enlace, por si te interesa: http://www.cyberciti.biz/tips/linux-uni ... tices.html

Por un tiempo eliminé el servidor ssh ahora lo he vuelto a abrir pero con otras configuraciones para hacerlo trabajar un poco si quiere volver. De momento lo sigo esperando, a ver si tengo suerte y encuentra algo mejor que hacer y se olvida de mí.

Suele decirse que para un auténtico hácker experto, no hay sistema que se resista; si quiere entrar, entrará. Pero yo que tú me lo tomaría como un reto personal e intentaría, por todos los medios, ser más listo que él. Yo estoy convencido de que puedes vencerlo si tomas medidas de seguridad fuertes.

Saludos.
----------
Mi web sobre la RasPi: http://rpi.uroboros.es

[yikoru]

yo uso autentificacion por clave publica y no he tenido mas logs raros
tambien tengo fail2ban funcionando y estoy pensando en implementar port-knoking como medida extra
pero igualmente si alguien quiere entrar y sabe mas que tu lo lograra

[Cefiro]

Hola.

Lo de autentificarse con clave pública es una medida de seguridad muy buena. No lo he puesto en la web porque yo no lo uso (de momento, y mientras me vaya bien, me vale con una BUENA contraseña), pero supongo que en Interner habrá muchos tutoriales para quien quiera añadirlo a su sistema. Lo del port-knoking, en cambio, no lo conozco bien.

Edito: Fail2ban también es una herramienta muy intersante. Había leído sobre ella, pero nunca la había probado. Veo que sirve para todos los servidores que tengamos instalados. Creo que la voy a añadir al contenido de la web.

Saludos.
-----------
Mi web sobre la RasPi: http://rpi.uroboros.es

[Cefiro]

Hola.

Pues ya está. Añadidas más medidas de seguridad para proteger el servidor SSH, incluyendo la instalación y configuracion de Fail2ban. Espero que les sean útiles a quienes las utilicen. http://www.rpi.uroboros.es/segurid.html#3

Saludos.
------------
Mi web sobre la RasPi: http://rpi.uroboros.es

[raspdroid]

Hola,

Yo también tengo fail2ban instalado y habilitado pero lo tenré mal configurado.

Para tomar medidas serias de seguridad creo que no basta con un firewall de software , habría que empezar comprando un firewall de hardware y eso se sale de mi presupuesto.

Saludos

[Cefiro]

Yo también tengo fail2ban instalado y habilitado pero lo tenré mal configurado.

Pues ponlo como lo tengo en la web, que va bien. Lo estuve probando ayer antes de subirlo, haciendo pruebas con intentos de entrada inválidos de todo tipo, y baneaba las IPs perfectamente. Me ha gustado el Fail2ban, es una buena herramienta.

Saludos.
-----------
Mi web sobre la RasPi: http://rpi.uroboros.es

[raspdroid]

Ok , gracias Cefiro lo probaré cuando pueda.

Saludos

[hoopdreams]

Buenas!

Mucho tiempo sin pasarme por aquí pero veo que siguen posteando los más habituales, eso es bueno.

Tengo la configuración de Cefiro, cambio de puerto por defecto + UFW, y según iba leyendo os iba a proponer recopilar entre todos las medidas de seguridad, por lo que ha sido una grata sorpresa leer que Cefiro ya ha añadido alguna más a su web. A ver si vuelvo a sacar algo de tiempo y la pruebo.

Un saludo.

[Cefiro]

Hola, hoopdreams.

Bienvenido de nuevo. Ya nos dirás cómo te funcionan los cambios que hagas. A ver si entre todos logramos un sistema lo más seguro posible.

Saludos.
-----------
Mi web sobre la RasPi: http://rpi.uroboros.es

[hoopdreams]

Buenas!

Ya he hecho los cambios, a ver cuántos son baneados. He pensado que quizá sería interesante hacer un pequeño programilla en python por ejemplo que lea el log y devuelva algo en plan: ha habido tantos accesos nuevos, baneados y no baneados.

Si me pongo a ello pondré los progresos.

Un saludo.

[yikoru]

igual si no me falla la memoria fail2ban hace un ban por "x" tiempo (creo que por defecto el ban es de 10 minutos) por ahí leí una modificación de las reglas la cual permitía realizar un ban permanente a las ip's con muchos intentos la cual consistía en guardar la ip baneada en otro archivo e ir comprobando cuantas veces se repetia, si excedía el limite ban permanente

[Cefiro]

Hola.

Basta con poner bantime = -1 para que banee permanentemente las IPs. Pero esto tiene su lado malo, porque si eres tú mismo intentando entrar desde fuera de casa (y te equivocas varias veces en la contraseña), no te dejará entrar nunca. Bueno, hasta que regreses a casa o lo intentes desde otro sitio, claro.

Saludos.
-----------
Mi web sobre la RasPi: http://rpi.uroboros.es

[yikoru]

Hola.

Basta con poner bantime = -1 para que banee permanentemente las IPs. Pero esto tiene su lado malo, porque si eres tú mismo intentando entrar desde fuera de casa (y te equivocas varias veces en la contraseña), no te dejará entrar nunca. Bueno, hasta que regreses a casa o lo intentes desde otro sitio, claro.

Saludos.
-----------
Mi web sobre la RasPi: http://rpi.uroboros.es

exacto por eso ese bantime= -1 no va y se ejecuta 1 script y el ban permanente se realizar si y solo si hay X cantidad de alarmas generadas desde la misma ip (ademas de los intentos preconfigurados por la regla)

[forumisto]

Hola

Tengo el ssh abierto por un puerto no estándar. ¿Cómo puedo saber si estoy sufriendo intentos de ataque? ¿Dónde se encuentra el fichero de log?

Muchas gracias.

[raspdroid]

Hola,

En la carpeta /var/log es donde se almacenan los archivos logs.

Podrías usar una herramienta como PSAD para analizar logs y detectar intrusiones http://cipherdyne.org/about.html

Yo no lo he usado nunca pero tiene buena pinta y parece tener soporte para UFW https://gist.github.com/netson/c45b2dc4e835761fbccc

http://cipherdyne.org/psad/docs/features.html

Saludos

[hoopdreams]

Buenas,

Llevo unos días probando combinaciones de variaciones de grep con los distintos auth.log que se van generando, ya que me gustaría hacer un script que se ejecute por ejemplo una vez a la semana y vuelque en un archivo de texto la siguiente información.

Fecha Accesos IP
Fecha Accesos negados IP

Filtraría la IP de los dispositivos con los que accedo yo para que no se incluyese. ¿Se os ocurre algo más que añadir?

He pensado que otra opción sería hacer la diferencia en plan: accesos negados desde la última semana -> X pero si pongo al fecha de cuando se ha analizado el log también me puedo hacer una idea.

Otra batalla es encriptar la conexión VNC, cuando acabe con esto me pongo con eso.

Un saludo.

[hoopdreams]

Buenas,

Perdón por subir esto tiempo después y por el doble post.

Hace un tiempo acabé de hacer un pequeño programilla en Python para contar los intentos de login fallidos, restando los de distintas IP que utilizo yo (alguna vez que he fallado con la contraseña ). Claro, esto es confiar mucho en la seguridad de mi Raspberry Pi, por no tener en cuenta también los intentos que sí han tenido éxito.

Hoy he añadido un poco de código para que cuente también los intentos aceptados, restando obviamente los de mis IP. De paso he llenado todo de comentarios para que se entienda mejor lo que he hecho.

La salida del programa son dos bases de datos (ocultas) y un archivo *.txt con la siguiente info:

Fecha Ataques nuevos exitosos Ataques nuevos rechazados
Fecha ................

Cualquiera puede usarlo, mejorar el código (quizá se pueda hacer lo mismo con menos líneas o algunas sean redundantes), añadir funciones, etc.

Como estoy empezando a usar GitHub he decidido ponerlo ahí, si alguien quiere ponerlo aquí sin problema. Si alguien colabora me gustaría que lo hiciese a través de dicha plataforma, pero sois libres de postear aquí cualquier cambio que hagáis y pasar de GitHub.

https://github.com/IkerGarcia/SSHlogger

Nota: aunque en el README de GitHub lo pone bien claro, lo explico. Las IP propias que le he puesto son "192.*" (cualquiera de la red local) y la de mi smartphone que es el único sistema que utilizo en remoto. Por motivos de seguridad en lo que he subido a GitHub esa IP aparece como "*.*.*.*". Si queréis que el programa funcione añadid otra IP o desactivar/borrar esa sentencia elif. Si no, restará todas las IP del conteo y no servirá de nada.

Un saludo.