Evitando ataques de fuerza bruta a ssh con denyhosts

Autor: Armonth | El miércoles 28 de junio del 2006 @ 19:48.

Algo que tarde o temprano tendremos que sufrir cuando tenemos una máquina con un servidor de SSH para administrarlo remotamente es encontrarnos ataques de fuerza bruta que intentan adivinar nuestra contraseña... entre otros intentos de acceso no permitido. denyhosts es un script que monitoriza el registro (log) de acceso y cuando se encuentra con más de un número configurable de accesos fallidos banea la IP directamente.

Se puede instalar fácilmente ya que en un buen porcentaje de las distribuciones viene empaquetado, un apt-get install denyhosts en Debian y carretera. La configuración que está en /etc/denyhosts.conf tampoco es nada que requiera una ingeniería, lo más importante:

# Número de intentos fallidos con un usuario *inexistente* para banear la IP.
DENY_THRESHOLD_INVALID = 4

# Número de intentos fallidos con un usuario *existente* para banear la IP.
DENY_THRESHOLD_VALID = 6

Y mediante las clausulas ADMIN_EMAIL (dirección de correo electrónica), SMTP_HOST (servidor STMP), SMTP_PORT (puerto SMTP, 99% de las veces el TCP 25) y un STMP_FROM (el "De:" que quieres que aparezca) podemos auto-enviarnos un correo electrónico cada vez que una IP sea baneada.

Vamos, tiene las 3 B's y las 3 F's. }:P

Comentarios