Pagina 1 di 1
SSH tentativi di accesso non autorizzato
Inviato: lunedì 9 aprile 2012, 17:30
da dustflux
Controllando il file di log auth.log ho notato diversi tentativi di accesso non autorizzato , tra le informazioni del log ci sono data, ora, l'utente provato ma non la password utilizzata per tentare l'accesso.
Come posso fare che nel log mi salvi anche la password che è stata usata per tentare l'accesso ?
Grazie 1000 !
Re: SSH tentativi di accesso non autorizzato
Inviato: martedì 10 aprile 2012, 13:32
da Iron Bishop
Re: SSH tentativi di accesso non autorizzato
Inviato: martedì 17 aprile 2012, 23:55
da LorenzoGaruti
Ciao,
io fossi in te più che debuggare la password mi preoccuperei di bloccare l'ssh dopo tot numero di tentativi.
Lo puoi fare con iptables:
Codice: Seleziona tutto
state NEW -m recent --set --name SSH
sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP
Questa regola blocca gli utenti maliziosi dopo 8 tentativi in un minuto, customizzabile a piacere ovviamente.
Spero di non essere andato OT.
Lorenzo
Re: SSH tentativi di accesso non autorizzato
Inviato: sabato 28 aprile 2012, 2:41
da dustflux
LorenzoGaruti ha scritto:Ciao,
io fossi in te più che debuggare la password mi preoccuperei di bloccare l'ssh dopo tot numero di tentativi.
Lo puoi fare con iptables:
Codice: Seleziona tutto
state NEW -m recent --set --name SSH
sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP
Questa regola blocca gli utenti maliziosi dopo 8 tentativi in un minuto, customizzabile a piacere ovviamente.
Spero di non essere andato OT.
Lorenzo
Grazie per la risposta
ho già preso i provvedimenti del caso per bloccare gli accessi, tra gli altri anche quello che mi hai proposto , ma quello che mi premeva sapere erano appunto le passwords utilizzate, perché analizzandole si possono capire tante cose, se viene utilizzato un dizionario, che dizionario ? solo ita o inglese ?
Ci hanno provato generando tutte le combinazioni di password possibili ?
Ci hanno provato inserendo dati mirati , il mio nome , il mio cognome o altri elementi della mia vita privata ?
Ci hanno provato inserendo dati "conoscibili" come password di accesso utilizzate nei forum o in altri siti che non utilizzano SSL e quindi "sniffabili" dalla rete locale ?
Una soluzione easy ancora non l'ho trovata, mi sono limitato solo a bloccare i servizi o a bannare gli IP.
Il dubbio mi rimane... sono "amici" o sconosciuti questi che ci provano ?
Re: SSH tentativi di accesso non autorizzato
Inviato: sabato 28 aprile 2012, 9:59
da Parny
Hai mai pensato di passare ad utilizzare solo chiavi pubbliche/private e disabilitare l'autenticazione via password?
Re: SSH tentativi di accesso non autorizzato
Inviato: sabato 28 aprile 2012, 15:23
da dustflux
Parny ha scritto:Hai mai pensato di passare ad utilizzare solo chiavi pubbliche/private e disabilitare l'autenticazione via password?
io personalmente utilizzo l'accesso in questo modo , più che per la sicurezza, perché è improponibile ad ogni accesso inserire una bistecca di 24 caratteri (maiuscole,minuscole,numeri e simboli) , non voglio disabilitare la password , mi preme sapere se è qualcuno a me "vicino" che ci prova, perché di cinesi che ci provano ne ho bloccati un caterva...
Re: SSH tentativi di accesso non autorizzato
Inviato: sabato 28 aprile 2012, 16:29
da Parny
No scusa non ho capito: te usi le chiavi ma vuoi lasciare abilitata l'autenticazione via password per vedere chi prova ad entrare?
Re: SSH tentativi di accesso non autorizzato
Inviato: domenica 29 aprile 2012, 0:32
da dustflux
Parny ha scritto:No scusa non ho capito: te usi le chiavi ma vuoi lasciare abilitata l'autenticazione via password per vedere chi prova ad entrare?
in pratica si !