SSH tentativi di accesso non autorizzato

Installazione, configurazione e uso di Ubuntu come server: web, ftp, mail, news, proxy, dns e altro.
dustflux
Prode Principiante
Messaggi: 15
Iscrizione: martedì 17 gennaio 2012, 2:25

SSH tentativi di accesso non autorizzato

Messaggio da dustflux »

Controllando il file di log auth.log ho notato diversi tentativi di accesso non autorizzato , tra le informazioni del log ci sono data, ora, l'utente provato ma non la password utilizzata per tentare l'accesso.
Come posso fare che nel log mi salvi anche la password che è stata usata per tentare l'accesso ?

Grazie 1000 !
LorenzoGaruti
Prode Principiante
Messaggi: 72
Iscrizione: martedì 17 aprile 2012, 23:23
Contatti:

Re: SSH tentativi di accesso non autorizzato

Messaggio da LorenzoGaruti »

Ciao,

io fossi in te più che debuggare la password mi preoccuperei di bloccare l'ssh dopo tot numero di tentativi.
Lo puoi fare con iptables:

Codice: Seleziona tutto

state NEW -m recent --set --name SSH
sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP
Questa regola blocca gli utenti maliziosi dopo 8 tentativi in un minuto, customizzabile a piacere ovviamente.
Spero di non essere andato OT.

Lorenzo
dustflux
Prode Principiante
Messaggi: 15
Iscrizione: martedì 17 gennaio 2012, 2:25

Re: SSH tentativi di accesso non autorizzato

Messaggio da dustflux »

LorenzoGaruti ha scritto:Ciao,

io fossi in te più che debuggare la password mi preoccuperei di bloccare l'ssh dopo tot numero di tentativi.
Lo puoi fare con iptables:

Codice: Seleziona tutto

state NEW -m recent --set --name SSH
sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP
Questa regola blocca gli utenti maliziosi dopo 8 tentativi in un minuto, customizzabile a piacere ovviamente.
Spero di non essere andato OT.

Lorenzo
Grazie per la risposta
ho già preso i provvedimenti del caso per bloccare gli accessi, tra gli altri anche quello che mi hai proposto , ma quello che mi premeva sapere erano appunto le passwords utilizzate, perché analizzandole si possono capire tante cose, se viene utilizzato un dizionario, che dizionario ? solo ita o inglese ?
Ci hanno provato generando tutte le combinazioni di password possibili ?
Ci hanno provato inserendo dati mirati , il mio nome , il mio cognome o altri elementi della mia vita privata ?
Ci hanno provato inserendo dati "conoscibili" come password di accesso utilizzate nei forum o in altri siti che non utilizzano SSL e quindi "sniffabili" dalla rete locale ?

Una soluzione easy ancora non l'ho trovata, mi sono limitato solo a bloccare i servizi o a bannare gli IP.

Il dubbio mi rimane... sono "amici" o sconosciuti questi che ci provano ?
Avatar utente
Parny
Prode Principiante
Messaggi: 102
Iscrizione: sabato 10 giugno 2006, 13:54
Desktop: Unity
Distribuzione: Ubuntu 12.04 LTS 64bit

Re: SSH tentativi di accesso non autorizzato

Messaggio da Parny »

Hai mai pensato di passare ad utilizzare solo chiavi pubbliche/private e disabilitare l'autenticazione via password?
dustflux
Prode Principiante
Messaggi: 15
Iscrizione: martedì 17 gennaio 2012, 2:25

Re: SSH tentativi di accesso non autorizzato

Messaggio da dustflux »

Parny ha scritto:Hai mai pensato di passare ad utilizzare solo chiavi pubbliche/private e disabilitare l'autenticazione via password?
io personalmente utilizzo l'accesso in questo modo , più che per la sicurezza, perché è improponibile ad ogni accesso inserire una bistecca di 24 caratteri (maiuscole,minuscole,numeri e simboli) , non voglio disabilitare la password , mi preme sapere se è qualcuno a me "vicino" che ci prova, perché di cinesi che ci provano ne ho bloccati un caterva...
Avatar utente
Parny
Prode Principiante
Messaggi: 102
Iscrizione: sabato 10 giugno 2006, 13:54
Desktop: Unity
Distribuzione: Ubuntu 12.04 LTS 64bit

Re: SSH tentativi di accesso non autorizzato

Messaggio da Parny »

No scusa non ho capito: te usi le chiavi ma vuoi lasciare abilitata l'autenticazione via password per vedere chi prova ad entrare?
dustflux
Prode Principiante
Messaggi: 15
Iscrizione: martedì 17 gennaio 2012, 2:25

Re: SSH tentativi di accesso non autorizzato

Messaggio da dustflux »

Parny ha scritto:No scusa non ho capito: te usi le chiavi ma vuoi lasciare abilitata l'autenticazione via password per vedere chi prova ad entrare?
in pratica si !
Scrivi risposta

Ritorna a “Ubuntu su server”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 11 ospiti