• ¡Bienvenid@! Recuerda que para comentar en el foro de El Chapuzas Informático necesitas registrar tu cuenta, tardarás menos de 2 minutos y te dará valiosa información además de ayudarte en lo que necesites o pasar un rato agradable con nosotros.

Seguridad SSH y Apache

Tobi Uchiha

Tobi Uchiha

Puff Puff
Registrado
11 Ago 2012
Mensajes
8.707
Puntos
113
Edad
44
Que me perdonen los moderadores si no creo el hilo en el apartado del foro adecuado.

Ayer estaba revisando los logs del servidor ya que veía que por netstat alguno intentaba colarse por ssh (puerto 22), y puestos a buscar revisé cuantos intentos de entrada había tenido.

En un periodo que va desde el día 9 a hoy mismo (de madrugada), dia 16, por lo que he podido leer en el log, hay numerosísimos intentos de hackear la clave ssh para el super usuario. La mayoría eran ataques desde China (tócate los webs, no tienen otra cosa que hacer los chinos que hackear servidor de fuera, ya podrían meterse con los de su gobierno de M), pero también desde Serbia, Rusia, Nueva York, e incluso Filipinas. Todos en repetidas ocasiones por bots en base a diccionario de palabras.

La cuestión es, ¿que me recomendáis para mejorar la seguridad SSH y tal vez en Apache (no me gustaría limitar el acceso por http pero tampoco quiero que ningún crawler de Google me toque las narices)?.

Y ante todo, gracias.
 
Si usas Linux puedes usar netfilter, capas todas las IP de acceso al ssh menos las que a ti te interesa.

Enviado desde mi Nexus 4 mediante Tapatalk
 
No puedo usarlo, por que entonces no podría conectarme desde fuera, no puedo saber desde que ip me conectaría.

De todas formas, por el momento he restringido bastante los ataques, pero creo que aun puedo subir la apuesta.

¿Alguna idea?.
 
Está mejor en el subforo software :)

Como te dije ayer por mensaje privado, hay una serie de cosas que hacer para blindar un servidor ssh:

  • Lo primero, cambiar el puerto de ssh a otro distinto del 22 suele venir muy bien, ya que la gran mayoría de bots lo intentan por ahí.
  • Deshabilitar el acceso a root ya que, de nuevo, los bots suelen hacerlo mediante éste usuario.
  • Limitar los usuarios que tienen acceso, para que sólo se conecten los que tú quieras. Así pararíamos a los bots que usan diccionarios con nombres de usuario.
  • Limitar el número de intentos de conexión (a 2, 3 o los que quieras) poniendo un retardo de tiempo para así parar los ataques por fuerza bruta.

Y cambiar la autenticación con contraseña por autenticación con llave.
¿Qué has probado de todo lo que hablamos?
 
Me falta la autenticación por llave, no sé exactamente como especificarlo o como crearla... de hecho no tengo ni idea..

De hecho lo estoy mirando ahora y veo que tengo que generar una clave por cada cliente (Pc o dispositivo remoto) desde el que me conecte, no es viable tal cosa. Podría generarla en windows y guardarla en un pen?.
 
Tienes que generar una única llave en el servidor. Aquí tienes cómo hacerlo.
 
Pues creo que ya está por que ahora el log está mucho más limpio. De todas formas voy a dejarlo una temporada conectado para revisar también que haya echado al crawler de Googlebot, ya que también estaba configurado el htaccess

Estudiaré lo de la clave con detenimiento ya que uso el móvil para monitorizar las estadísticas y no sé si le podría añadir la clave al programa, o bien tendría que adaptarme a otro..

Gracias por la ayuda...
 
¿Qué app usas en el móvil?
 
Hay que estar conectado o registrado para responder aquí.
Arriba