Con ayuda de este how-to, Instalar y configurar Denyhosts para prevenir ataques de diccionario SSH es de lo más sencillo.
Y es que los ataques automatizados por SSH son un auténtico calvario. Consumen recursos, deniegan servicios y lo que es peor: si nuestra política de claves es débil, podemos acabar siendo pasto de spammers, botnets y demás jauría, que convertirán nuestra máquina en un centro de dispersión de basura en un abrir y cerrar de ojos, y sin darnos cuenta.
DenyHosts es un script pensado para sistemas Linux, que permite prevenir los nocivos efectos de estos ataques de servidor. Proporciona medidas de contención y paliativas interesantes, y para ello se basa en el análisis de los auth logs, habitualmente presentes en /var/log/secure o /var/log/auth.log.
Mediante el ajuste de las directivas DENY_THRESHOLD_INVALID (número de intentos inválidos de login por parte de usuarios no existentes) y la directiva DENY_THRESHOLD_ROOT (número máximo que el root puede tratar de autenticarse sin éxito) el script toma acciones de restricción de acceso, cortando el paso a los atacantes.
Los interesados, podeís descargar Denyhosts. Tiene muy buena pinta :)
Sinceramente, creo que la mejor forma de evitar ataques por diccionario con SSH es utilizar autentificación basada en clave pública y desactivar la autentificación mediante contraseña. Al menos, así es como lo vengo haciendo siempre.
Para incrementar la seguridad, deposito la clave privada en una llave USB, de forma que la clave privada no resida permanentemente en la máquina y pueda ser comprometida.
Hola Sergio, con este post me has sacado del anonimato en el que estaba desde que me suscribí a tu blog hace tres meses más o menos. Es la primera que comento en él y quería darte las gracias por este post (y por el resto). No conocía esta herramienta que comentas y tiene muy buena pinta. Le vamos a pegar un vistazo para añadirla a nuestro servidor Linux. Gracias!
Felipe,
Totalmente de acuerdo. Tu método es mucho más sólido, pero requiere ciertos conocimientos que si presuponemos tiene cualquiera, apañados vamos :)
Fernando,
Un placer hombre. Espero que le encontréis utilidad a la herramienta. Un saludo.
Hola amigos… tengo un problemilla, resulta que mi proveedor me indica que mi servidor esta realizando ataques SSH hacia el internet y que lo solucione, pero no se como hacerlo, no se si alguien me puede indicar comom puedo hacerlo
Gracias..
Christian