miércoles, 3 de febrero de 2010

SSH:Prevención de ataques de diccionario con DenyHosts Inst

Resumen

DenyHosts es un script que ayuda a los administradores de sistemas Linux a prevenir ataques por ssh.
Revisando el archivo /var/log/auth.log encontramos muchos registros similares a los mostrados abajo que muestran los intentos de ingreso via ssh al servidor con nombres usuario diferentes:

Dec 10 06:38:53 paloma sshd[468]: Invalid user john from 83.211.160.211
Dec 10 06:42:51 paloma sshd[1293]: Invalid user john from 221.6.14.103
Dec 10 06:47:00 paloma sshd[2094]: reverse mapping checking getaddrinfo for c9520607.cps.static.virtua.com.br [201.82.6.7] failed - POSSIBLE BREAK-IN ATTEMPT!
Dec 10 06:47:00 paloma sshd[2094]: Invalid user john from 201.82.6.7
Dec 10 06:51:15 paloma sshd[2892]: Invalid user jojo from 80.152.193.37
Dec 10 06:59:04 paloma sshd[3763]: Invalid user jonas from 193.108.241.230
Dec 10 07:06:55 paloma sshd[6074]: Invalid user jones from 84.246.69.21
Dec 10 07:10:42 paloma sshd[6979]: Invalid user joomla from 200.145.39.130
Dec 10 07:42:18 paloma sshd[12183]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=www.ropsa.com.mx user=jose
Dec 10 07:42:19 paloma sshd[12181]: error: PAM: Authentication failure for jose from www.ropsa.com.mx
Dec 10 08:01:55 paloma sshd[18325]: Invalid user josh from 58.247.222.163
Dec 10 08:06:10 paloma sshd[20116]: Invalid user josh from 217.220.124.90
Dec 10 08:09:55 paloma sshd[20307]: Invalid user josh from 190.146.246.36



DenyHosts permite automatizar el bloqueo de direcciones ip que repetidamente intentan ingresar sin éxito al servidor.

Mapa

* Instalado el 11 de diciembre de 2009



Instalación
Este script está escrito en python, el cual ya está instalado en el servidor en su última versión disponible.

#sudo su
cd /tmp
wget http://downloads.sourceforge.net/project/denyhosts/denyhosts/2.6/DenyHosts-2.6.tar.gz?use_mirror=voxel
tar xvfz DenyHosts-2.6.tar.gz
cd DenyHosts-2.6
python setup.py install



* Referencia:

http://www.howtoforge.com/preventing_ssh_dictionary_attacks_with_denyhosts?from=10&comments_per_page=10

No hay comentarios: