Bloquear ip con ssh.
Ricardo Frydman Eureka!
ricardoeureka en gmail.com
Vie Feb 24 17:07:32 GMT 2006
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Miguel P.C. wrote:
>
>
>>>>Sobre lo de poner el ssh en otro puerto que no sea el 22,
>>>>complicado.
>>>
>>>Complicado?!
>
>
> Complicado ... llegar a otro puerto que no sea el 22 cuando desde
> donde quieres acceder solo te dejan salir al 22.
>
>
>>>>Al puerto 22 me dejan salir desde mi lugar de trabajo pero a
>>>>otros muchos no.
>>>
>>>
>>>Se soluciona con port forwarding.
>
>
> ¿Como?
> ¿Como accedo a un ssh en el puerto 2022 si solo me dejan salir al 22?
Lee acerca de tuneles con ssh.
>>>>Si pudiese salir a puertos arbitrarios usaria port-knocking:
>>>
>>>>http://www.linuxjournal.com/article/6811
>>>
>>>
>>>Eso no soluciona lo que el compañero pregunto.
>
>
> He dicho que es lo haría yo, no que le solucione la papeleta a quie
> pregunta.
> De todos modos, esta conversación no está resultando nada útil ni
> fructifera.
> No aumentan las posibilidades ni mejoran:
>
> Opciones recibidas:
> .- Cambiar ssh de puerto
Te repito: lee todos los correos del hilo, no solo los que tu mandas :)
> Opciones ofertadas:
> .- DenyHosts
> .- Pot-knocking
> .- Lista negra
>
> ¿Cual es _ahora_ el objetivo de esta discusión?
El mio: Ayudar a quienes quieran ahora o en el futuro solucionar
problemas similares, el tuyo?
>>>>La otra opción era la de DenyHosts:
>>>
>>>
>>>no sirve si el host lo desconoces y/o es dinamico!
>
>
> Ya, pero evitas ataques por fuerza bruta.
No los evitas. Los anulas, si sigues mis anteriores consejos, si los
evitas. No recibes ni uno solito.
> Puedes detener el acceso temporalmente a una IP si supera un número de
> conexiones.
> Si sirve. Siempre que refresques la lista.
Cual es el sentido? Si puedes directamente /anularlos/?
> Decía en su mensaje original Jose María:
>
> "Viendo el registro del sistema he comprobado que hay personas que
> están intentado acceder a mi maquina probando diferentes nombres de
> usuario, y siempre desde una misma ip.
>
> ¿Habría alguna forma de hacer que cuando se hagan por ejemplo 5
> intentos fallidos desde una ip, se bloquee todas las peticiones de
> esta por un periodo de tiempo? Por ejemplo 24 horas. "
>
> Según esos preceptos, cualquiera de las tres opciónes que he aportado
> solucionarían el problema.
Ya te he demostrado que no
>>>>>>>Para algo parecido, había visto lo siguiente:
>>>>>>
> http://www.howtoforge.com/preventing_ssh_dictionary_attacks_with_denyhosts
>
>>>>>>>http://denyhosts.sourceforge.net/
>>>>>>
>>>>>>>Me pareció interesante pero no le he dedicado más que un
>>>>>>>par de minutos como para saber de que va y poco más. Si te
>>>>>>>animas, compártelo ¿vale?
>>>
>>>>¿La has probado?
>>>
>>>
>>>No. No la he necesitado, afortunadamente.
>
>
> ¿seguro?
Si.
>>>>Un saludo.
>>>
>>>>De momento solo has aportado la opción de cambiar el puerto donde
>>>>escucha ssh.
>>>
>>>No has leido todo el hilo, sino no dirias eso.
> Si, lo he leido.
> De todos modos, rebateme que no lo haya leido, ¿que otra opción has
> aportado?.
Si lo leiste, lo sabras :)
> De nuevo una negativa sin aportar razones.
>
> ... o mejor, no rebatas nada, con que dejemos de meter ruido en la
> lista con discusiones sin contenido sería suficiente.
>
>
>>>>No creo que sea mejor opcion que la mía de hacer una lista negra.
>>>>Es solo mi opinión.
>>>
>>>
>>>De eso no me caben dudas.
>
>
> http://es.wikiquote.org/wiki/Blaise_Pascal
>
>
>>>>Un saludo.
>
>
>
> Otro saludo.
>
> P.D.: Mis disculpas a toda la lista. Por mi parte no volverá a
> repetirse una discusión similar con tan bajo índice señal/ruido.
Te equivocas nuevamente: el indice de ruido lo has levantado :)
- --
Ricardo A.Frydman
Consultor en Tecnología Open Source - Administrador de Sistemas
jabber: ricardoeureka en gmail.com - http://www.eureka-linux.com.ar
SIP # 1-747-667-9534
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
iD8DBQFD/z1Tkw12RhFuGy4RAtFqAJwN7YqLtVJMp6T755/rqB15Ul6mpgCZAX6u
q2XnyrMlV7DY8MRxxMw6Jn8=
=HrqT
-----END PGP SIGNATURE-----
Más información sobre la lista de distribución ubuntu-es