SSH tentativi di accesso non autorizzato

Installazione, configurazione e uso di Ubuntu come server: web, ftp, mail, news, proxy, dns, ecc.

SSH tentativi di accesso non autorizzato

Messaggioda dustflux » lunedì 9 aprile 2012, 17:30

Controllando il file di log auth.log ho notato diversi tentativi di accesso non autorizzato , tra le informazioni del log ci sono data, ora, l'utente provato ma non la password utilizzata per tentare l'accesso.
Come posso fare che nel log mi salvi anche la password che è stata usata per tentare l'accesso ?

Grazie 1000 !
dustflux Non specificato
Prode Principiante
 
Messaggi: 15
Iscrizione: gennaio 2012


Re: SSH tentativi di accesso non autorizzato

Messaggioda LorenzoGaruti » martedì 17 aprile 2012, 23:55

Ciao,

io fossi in te più che debuggare la password mi preoccuperei di bloccare l'ssh dopo tot numero di tentativi.
Lo puoi fare con iptables:

Codice: Seleziona tutto
state NEW -m recent --set --name SSH
sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP


Questa regola blocca gli utenti maliziosi dopo 8 tentativi in un minuto, customizzabile a piacere ovviamente.
Spero di non essere andato OT.

Lorenzo
LorenzoGaruti Non specificato
Prode Principiante
 
Messaggi: 72
Iscrizione: aprile 2012

Re: SSH tentativi di accesso non autorizzato

Messaggioda dustflux » sabato 28 aprile 2012, 2:41

LorenzoGaruti ha scritto:Ciao,

io fossi in te più che debuggare la password mi preoccuperei di bloccare l'ssh dopo tot numero di tentativi.
Lo puoi fare con iptables:

Codice: Seleziona tutto
state NEW -m recent --set --name SSH
sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP


Questa regola blocca gli utenti maliziosi dopo 8 tentativi in un minuto, customizzabile a piacere ovviamente.
Spero di non essere andato OT.

Lorenzo


Grazie per la risposta
ho già preso i provvedimenti del caso per bloccare gli accessi, tra gli altri anche quello che mi hai proposto , ma quello che mi premeva sapere erano appunto le passwords utilizzate, perché analizzandole si possono capire tante cose, se viene utilizzato un dizionario, che dizionario ? solo ita o inglese ?
Ci hanno provato generando tutte le combinazioni di password possibili ?
Ci hanno provato inserendo dati mirati , il mio nome , il mio cognome o altri elementi della mia vita privata ?
Ci hanno provato inserendo dati "conoscibili" come password di accesso utilizzate nei forum o in altri siti che non utilizzano SSL e quindi "sniffabili" dalla rete locale ?

Una soluzione easy ancora non l'ho trovata, mi sono limitato solo a bloccare i servizi o a bannare gli IP.

Il dubbio mi rimane... sono "amici" o sconosciuti questi che ci provano ?
dustflux Non specificato
Prode Principiante
 
Messaggi: 15
Iscrizione: gennaio 2012

Re: SSH tentativi di accesso non autorizzato

Messaggioda Parny » sabato 28 aprile 2012, 9:59

Hai mai pensato di passare ad utilizzare solo chiavi pubbliche/private e disabilitare l'autenticazione via password?
Avatar utente
Parny Non specificato
Prode Principiante
 
Messaggi: 102
Iscrizione: giugno 2006
Distribuzione: Ubuntu 12.04 LTS 64bit
Desktop: Unity

Re: SSH tentativi di accesso non autorizzato

Messaggioda dustflux » sabato 28 aprile 2012, 15:23

Parny ha scritto:Hai mai pensato di passare ad utilizzare solo chiavi pubbliche/private e disabilitare l'autenticazione via password?


io personalmente utilizzo l'accesso in questo modo , più che per la sicurezza, perché è improponibile ad ogni accesso inserire una bistecca di 24 caratteri (maiuscole,minuscole,numeri e simboli) , non voglio disabilitare la password , mi preme sapere se è qualcuno a me "vicino" che ci prova, perché di cinesi che ci provano ne ho bloccati un caterva...
dustflux Non specificato
Prode Principiante
 
Messaggi: 15
Iscrizione: gennaio 2012

Re: SSH tentativi di accesso non autorizzato

Messaggioda Parny » sabato 28 aprile 2012, 16:29

No scusa non ho capito: te usi le chiavi ma vuoi lasciare abilitata l'autenticazione via password per vedere chi prova ad entrare?
Avatar utente
Parny Non specificato
Prode Principiante
 
Messaggi: 102
Iscrizione: giugno 2006
Distribuzione: Ubuntu 12.04 LTS 64bit
Desktop: Unity

Re: SSH tentativi di accesso non autorizzato

Messaggioda dustflux » domenica 29 aprile 2012, 0:32

Parny ha scritto:No scusa non ho capito: te usi le chiavi ma vuoi lasciare abilitata l'autenticazione via password per vedere chi prova ad entrare?


in pratica si !
dustflux Non specificato
Prode Principiante
 
Messaggi: 15
Iscrizione: gennaio 2012


Torna a Ubuntu su server

Chi c’è in linea

Visualizzano questa sezione: 0 utenti registrati e 1 ospite