Translate

viernes, noviembre 18, 2016

Seguridad Raspberry pi - Ataques SSH_brute_force conexiones ssh

Haciendo un chekeo en el fichero /var/log/auth.log vi algo sorprendente:

Nov 18 08:21:21 raspberrypi sshd[13564]: Failed password for root from 51.4.225.228 port 13577 ssh2

Tras googlear un poco, vi el problema, parecen ser intentos de acceso root en nuestras máquinas, ni idea para qué, seguro que algo bastante oscuro, así que buscanso soluciones tenemos una muy buena:

bloquear toda conexión SSH (direcciones IP cuyo login falla 4 veces cada 10 minutos (es un ejemplo, lo ajustamos según nuestras necesidades (poner antes sudo para que ejecute el comando root):

iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 600 --hitcount 4 -j DROP

Con esto empezamos a estar protegidos frente a un ataque que pretenda acceder como root a nuestro sistema Linux por fuerza bruta (listas de passwords, etc..)

Para que esta configuración no se borre en el siguiente reboot (lo anterior queda para una sesión en memoria):

Actualizamos como siempre nuestra raspi:

$sudo rpi-update 
$sudo apt-get dist-upgrade 
$sudo  apt-get update

1- Instalar el paquete iptables-persistent :
#sudo apt-get install iptables-persistent
En el menu selecciuonamos YES en rule.v4.


2.Para que nuestra configuración anterior quede salvada, es encesario ejecutar los comandos anteriores en memoria y despues salvar esta canfiguración (iptabes-persient los lee de memoria):
$sudo bash -c "iptables-save > /etc/iptables/rules.v4"



No hay comentarios: