Bloquear ip con ssh.
Miguel P.C.
jabali.feliz en gmail.com
Vie Feb 24 17:06:54 GMT 2006
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
>> Sobre lo de poner el ssh en otro puerto que no sea el 22,
>> complicado.
>
> Complicado?!
Complicado ... llegar a otro puerto que no sea el 22 cuando desde
donde quieres acceder solo te dejan salir al 22.
>
>> Al puerto 22 me dejan salir desde mi lugar de trabajo pero a
>> otros muchos no.
>
>
> Se soluciona con port forwarding.
¿Como?
¿Como accedo a un ssh en el puerto 2022 si solo me dejan salir al 22?
>
>> Si pudiese salir a puertos arbitrarios usaria port-knocking:
>
>> http://www.linuxjournal.com/article/6811
>
>
> Eso no soluciona lo que el compañero pregunto.
He dicho que es lo haría yo, no que le solucione la papeleta a quie
pregunta.
De todos modos, esta conversación no está resultando nada útil ni
fructifera.
No aumentan las posibilidades ni mejoran:
Opciones recibidas:
.- Cambiar ssh de puerto
Opciones ofertadas:
.- DenyHosts
.- Pot-knocking
.- Lista negra
¿Cual es _ahora_ el objetivo de esta discusión?
>> La otra opción era la de DenyHosts:
>
>
> no sirve si el host lo desconoces y/o es dinamico!
Ya, pero evitas ataques por fuerza bruta.
Puedes detener el acceso temporalmente a una IP si supera un número de
conexiones.
Si sirve. Siempre que refresques la lista.
Decía en su mensaje original Jose María:
"Viendo el registro del sistema he comprobado que hay personas que
están intentado acceder a mi maquina probando diferentes nombres de
usuario, y siempre desde una misma ip.
¿Habría alguna forma de hacer que cuando se hagan por ejemplo 5
intentos fallidos desde una ip, se bloquee todas las peticiones de
esta por un periodo de tiempo? Por ejemplo 24 horas. "
Según esos preceptos, cualquiera de las tres opciónes que he aportado
solucionarían el problema.
>
>
>>>>> Para algo parecido, había visto lo siguiente:
>>>>
>>>>>
http://www.howtoforge.com/preventing_ssh_dictionary_attacks_with_denyhosts
>>>>> http://denyhosts.sourceforge.net/
>>>>
>>>>> Me pareció interesante pero no le he dedicado más que un
>>>>> par de minutos como para saber de que va y poco más. Si te
>>>>> animas, compártelo ¿vale?
>
>> ¿La has probado?
>
>
> No. No la he necesitado, afortunadamente.
¿seguro?
>
>> Un saludo.
>
>> De momento solo has aportado la opción de cambiar el puerto donde
>> escucha ssh.
>
> No has leido todo el hilo, sino no dirias eso.
Si, lo he leido.
De todos modos, rebateme que no lo haya leido, ¿que otra opción has
aportado?.
De nuevo una negativa sin aportar razones.
... o mejor, no rebatas nada, con que dejemos de meter ruido en la
lista con discusiones sin contenido sería suficiente.
>
>> No creo que sea mejor opcion que la mía de hacer una lista negra.
>> Es solo mi opinión.
>
>
> De eso no me caben dudas.
http://es.wikiquote.org/wiki/Blaise_Pascal
>
>> Un saludo.
Otro saludo.
P.D.: Mis disculpas a toda la lista. Por mi parte no volverá a
repetirse una discusión similar con tan bajo índice señal/ruido.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
iD8DBQFD/z0tcS7z2n/RJ/4RAmlSAJ9Tj1AFE73C3SR5XGy9+7HHdR2UkQCZAb27
tnE9onRNVYjL1Bj5bEcr4jI=
=tdnf
-----END PGP SIGNATURE-----
Más información sobre la lista de distribución ubuntu-es