Etiquetas

7/16/2005

Ataques a SSH

Últimamente parece que se han puesto de moda los scripts que hacen ataques por fuerza bruta (adivinación de contraseñas) a servidores SSH.

Para comprobar si alguien está intentándolo con vuestra máquina, buscad en el archivo /var/log/auth.log entradas del tipo sshd[4376]: Illegal user root from ::ffff:256.266.190.220.
La mejor manera de protegerse ante estos pesados es la siguiente:
  • Evitad que se pueda acceder como root remotamente por SSH. En el archivo /etc/ssh/sshd_config (o el correspondiente a distribuciones que no sean Debian) comprobad que hay una línea que reza PermitRootLogin no. No perderéis nada, con un simple comando su podéis acceder remotamente como usuarios y conseguir privilegios de root introduciendo la contraseña.
  • No uséis cuentas con los siguientes nombres de usuario: admin, test, testing, public, user, guest, staff, backup, etc. En general procurad elegir nombres de usuario difíciles de imaginar por desconocidos (por ejemplo el nombre propio seguido de las dos últimas cifras de tu DNI). Al usar ataques por diccionarios, las primeras cuentas que se prueban son aquellas cuyo nombre ha funcionado antes.
  • Elegid bien las contraseñas. Mezclad siempre cifras y letras, con más de 6 caracteres (recomiendo un mínimo de 8 ). Así será más difícil que den con la contraseña a base de prueba y error.
Si se siguen estos pasos, es difícil que logren hacerse con una cuenta. En mi caso llevo un mega de registro llenito de intentos de acceso fallidos. Con nombres de usuario tan rocambolescos como “myrhodesiaiscom”.