Informática Numaboa - Linux
SSH - Bloqueando ataques de login
Sex 14 Abr 2006 16:06 |
- Detalhes
- Categoria: Como fazer segurança
- Atualização: Quinta, 12 Março 2009 21:58
- Autor: vovó Vicki
- Acessos: 16735
Atualmente, uma das tentativas preferidas dos crackers é forçar a barra em cima do SSH. Bastou colocar meus servidores na zona desmilitarizada para que os logs que registram as tentativas de invasão engordassem em alguns megas todos os dias por conta de sucessivos usuários inexistentes e com senha recusada jogados em cima do SSH.
Analisando o intervalo entre tentativas consecutivas, ficou claro para mim que, na maioria dos casos, tratavam-se de ataques baseados em scripts e pilotados por kiddies ou até mesmo por máquinas zumbi. Mesmo que não tivessem conseguido invadir minhas máquinas, o simples fato de ficar comendo banda e engordando logs já era o suficiente para fazer com que eu perdesse a paciência e tomasse uma providência. Além do mais, eu sabia que apenas a senha escolhida estava segurando a barra, e isto não me agradava nem um pouco.
Se você tiver registros como o mostrado abaixo, então comece a pensar na possibilidade de tomar algumas medidas (espero que este artigo sirva para guiar seu caminho). Peguei um pedacinho do meu log (em /var/log/messages) onde, por incrível que pareça, aparecem dois ataques simultâneos:
Apr 13 17:24:30 nsvicki sshd[21998]: Failed password for root from 134.106.87.87 port 37068 ssh2 Apr 13 17:24:32 nsvicki sshd[22000]: Invalid user alexandra from 69.31.86.145 Apr 13 17:24:32 nsvicki sshd[22000]: reverse mapping checking getaddrinfo for eva222.named1.com failed - POSSIBLE BREAKIN ATTEMPT! Apr 13 17:24:32 nsvicki sshd[22000]: Failed password for invalid user alexandra from 69.31.86.145 port 50560 ssh2 Apr 13 17:24:32 nsvicki sshd[22004]: Failed password for root from 134.106.87.87 port 37244 ssh2 Apr 13 17:24:35 nsvicki sshd[22010]: Failed password for root from 134.106.87.87 port 37423 ssh2 Apr 13 17:24:35 nsvicki sshd[22007]: Invalid user alexandra from 69.31.86.145 Apr 13 17:24:35 nsvicki sshd[22007]: reverse mapping checking getaddrinfo for eva222.named1.com failed - POSSIBLE BREAKIN ATTEMPT! Apr 13 17:24:35 nsvicki sshd[22007]: Failed password for invalid user alexandra from 69.31.86.145 port 50827 ssh2 Apr 13 17:24:37 nsvicki sshd[22013]: Failed password for root from 134.106.87.87 port 37610 ssh2 Apr 13 17:24:38 nsvicki sshd[22016]: Invalid user alfred from 69.31.86.145 Apr 13 17:24:38 nsvicki sshd[22016]: reverse mapping checking getaddrinfo for eva222.named1.com failed - POSSIBLE BREAKIN ATTEMPT!
Sobre o OpenSSH
Antes de começar, uma observação: este texto se baseia no [url=http://www.openssh.com]OpenSSH[/url]. O OpenSSH é uma versão FREE das ferramentas de conectividade SSH bastante difundida e respeitada por usuários técnicos da Internet. Poucos se dão conta de que o telnet, rlogin e ftp transmitem as senhas através da rede sem criptografia. O OpenSSH encripta todo o tráfego (incluindo-se aí as senhas) para efectivamente eliminar interceptações, sequestro de conexões e outros ataques. Adicionalmente, o OpenSSH permite tunelamento seguro, possui vários métodos de autenticação e dá suporte a todas as versões do protocolo SSH. Para que funcione com a segurança desejada, o OpenSSH precisa estar configurado corretamente.
- Anterior
- Próximo >>