Proteger un servidor

s4suk3 #1 May '17 Penitente

Buenas

Hace algún tiempo por falta de experiencia y demasiada confianza me entraron en un server ubuntu por ssh mediante fuerza bruta.
Desde esa, puse medidas básicas de seguridad como:

-Eliminar el ssh por contraseña (solo por publickey)
-Eliminar el ssh para el usuario root
-Instalar el fail2ban

Pese a ello veo el log lleno de escoria, me gustaría saber que más puedo hacer y una preguntilla:
Se puede bloquear los intentos ssh por país? ya que la mayoría de bots no vienen de España precisamente.

Cualquier sugerencia es bienvenida!

B

[Borrado] #2 May '17

Permitiendo solo claves ssh no se te van a meter via ssh "jamás". Si lo que quieres es ver menos intentos de logeo en los logs cambia el puerto ssh.

1 1 respuesta

Traber #3 May '17

Lo de los logs lo veo como algo normal, es lógico que intenten tirar el SSH, normalmente son bots que tratan de entrar en servidores, si fueran ataques dirigidos ya me mosquearía, pero es más normal de lo que uno puede pensar xD.

No obstante, como dice #2 habilitar el login con claves SSH te evitas este tipo de ataques.

Jooki #4 May '17

pues a mi el ssh ni lo tocan, pero el ftp......

iba a decir, cambia el puerto, pero ya te lo han dicho.

ke2g #5 May '17 :psyduck:

esta guía es un buen comienzo:

https://www.codelitt.com/blog/my-first-10-minutes-on-a-server-primer-for-securing-ubuntu/

o su versión hardcore:

https://www.inversoft.com/guides/2016-guide-to-user-data-security

Esta muy orientado a temas web, pero vamos que muchas cosas aplican a cualquier servidor linux.

1 1 respuesta

HeXaN #6 May '17

CSF y a tirar millas.

https://configserver.com/cp/csf.html

1 1 respuesta

s4suk3 #7 May '17 Penitente

instalé el logwatch y es gracioso ver los intentos de los bots

spoiler

1234 [preauth]: 1 time
22 [preauth]: 1 time
a [preauth]: 1 time
adm [preauth]: 1 time
admin [preauth]: 1 time
admine [preauth]: 1 time
administrator [preauth]: 1 time
agni [preauth]: 1 time
al [preauth]: 1 time
alan [preauth]: 1 time
alberto [preauth]: 1 time
alex [preauth]: 1 time
alias [preauth]: 1 time
alvaro [preauth]: 1 time
amador [preauth]: 1 time
america [preauth]: 1 time
andrew [preauth]: 1 time
anna [preauth]: 1 time
anthony [preauth]: 1 time
anton [preauth]: 1 time
aron [preauth]: 1 time
ashley [preauth]: 1 time
bacardi [preauth]: 1 time
bea [preauth]: 1 time
benliu [preauth]: 1 time
beny [preauth]: 1 time
billy [preauth]: 1 time
bob [preauth]: 1 time
brad [preauth]: 1 time
brandon [preauth]: 1 time
bruce [preauth]: 1 time
buddy [preauth]: 1 time
cam [preauth]: 1 time
carl [preauth]: 1 time
charlotte [preauth]: 1 time
chen [preauth]: 1 time
client [preauth]: 1 time
coba [preauth]: 1 time
cody [preauth]: 1 time
craig [preauth]: 1 time
cs [preauth]: 1 time
curtis [preauth]: 1 time
cyrus [preauth]: 1 time
daniel [preauth]: 1 time
david [preauth]: 1 time
default [preauth]: 1 time
demo [preauth]: 1 time
demo1 [preauth]: 1 time
derick [preauth]: 1 time
domain [preauth]: 1 time
dvr [preauth]: 1 time
edgar [preauth]: 1 time
eric [preauth]: 1 time
ethan [preauth]: 1 time
ff [preauth]: 1 time
frank [preauth]: 1 time
freddy [preauth]: 1 time
ftp [preauth]: 1 time
ftpuser [preauth]: 1 time
galaxy [preauth]: 1 time
george [preauth]: 1 time
geovanny [preauth]: 1 time
gina [preauth]: 1 time
gregory [preauth]: 1 time
guest [preauth]: 1 time
hasan [preauth]: 1 time
hc [preauth]: 1 time
hector [preauth]: 1 time
henry [preauth]: 1 time
hikari [preauth]: 1 time
html [preauth]: 1 time
httpd [preauth]: 1 time
hugo [preauth]: 1 time
info [preauth]: 1 time
infoidcw [preauth]: 1 time
isaac [preauth]: 1 time
jabber [preauth]: 1 time
jack [preauth]: 1 time
james [preauth]: 1 time
jasmine [preauth]: 1 time
java [preauth]: 1 time
javier [preauth]: 1 time
jboss [preauth]: 1 time
jeff [preauth]: 1 time
jessica [preauth]: 1 time
joanna [preauth]: 1 time
joao [preauth]: 1 time
joe [preauth]: 1 time
john [preauth]: 1 time
jose [preauth]: 1 time
juan [preauth]: 1 time
julia [preauth]: 1 time
karim [preauth]: 1 time
kasai [preauth]: 1 time
kou [preauth]: 1 time
kura [preauth]: 1 time
land [preauth]: 1 time
leila [preauth]: 1 time
ling [preauth]: 1 time
lora [preauth]: 1 time
louis [preauth]: 1 time
lucy [preauth]: 1 time
luke [preauth]: 1 time
m [preauth]: 1 time
mailman [preauth]: 1 time
mailtest [preauth]: 1 time
manager [preauth]: 1 time
marco [preauth]: 1 time
marius [preauth]: 1 time
marta [preauth]: 1 time
martine [preauth]: 1 time
mary [preauth]: 1 time
master [preauth]: 1 time
matsuura [preauth]: 1 time
matt [preauth]: 1 time
mc [preauth]: 1 time
meg [preauth]: 1 time
melissa [preauth]: 1 time
michael [preauth]: 1 time
mickey [preauth]: 1 time
mike [preauth]: 1 time
mine [preauth]: 1 time
miyagi [preauth]: 1 time
miyazaki [preauth]: 1 time
molly [preauth]: 1 time
mos [preauth]: 1 time
mother [preauth]: 1 time
mysql [preauth]: 1 time
nagao [preauth]: 1 time
nagios [preauth]: 1 time
nancy [preauth]: 1 time
nasir [preauth]: 1 time
office [preauth]: 1 time
ol [preauth]: 1 time
operator [preauth]: 1 time
oracle [preauth]: 1 time
oracle1 [preauth]: 1 time
oscar [preauth]: 1 time
otrs [preauth]: 1 time
pablix [preauth]: 1 time
park [preauth]: 1 time
pepe [preauth]: 1 time
peter [preauth]: 1 time
petter [preauth]: 1 time
pgsql [preauth]: 1 time
pi [preauth]: 1 time
plcmspip [preauth]: 1 time
pos [preauth]: 1 time
postfix [preauth]: 1 time
postgres [preauth]: 1 time
postgres1 [preauth]: 1 time
postmaster [preauth]: 1 time
press [preauth]: 1 time
prova [preauth]: 1 time
prueba [preauth]: 1 time
qwerty [preauth]: 1 time
radu [preauth]: 1 time
rafa [preauth]: 1 time
rajesh [preauth]: 1 time
rakesh [preauth]: 1 time
ranjeet [preauth]: 1 time
ranjit [preauth]: 1 time
rcb [preauth]: 1 time
reception [preauth]: 1 time
redmine [preauth]: 1 time
reiko [preauth]: 1 time
richard [preauth]: 1 time
rio9 [preauth]: 1 time
rommie [preauth]: 1 time
ruby [preauth]: 1 time
ryan [preauth]: 1 time
sakae [preauth]: 1 time
sales [preauth]: 1 time
sam [preauth]: 1 time
samba [preauth]: 1 time
sandu [preauth]: 1 time
santhosh [preauth]: 1 time
scott [preauth]: 1 time
server [preauth]: 1 time
shivam5 [preauth]: 1 time
sidney [preauth]: 1 time
siga [preauth]: 1 time
sol [preauth]: 1 time
sony [preauth]: 1 time
spice [preauth]: 1 time
spy [preauth]: 1 time
squid [preauth]: 1 time
sugawara [preauth]: 1 time
super [preauth]: 1 time
support [preauth]: 1 time
sybase [preauth]: 1 time
sysadmin [preauth]: 1 time
t [preauth]: 1 time
takahashi [preauth]: 1 time
tamura [preauth]: 1 time
teacher [preauth]: 1 time
temp [preauth]: 1 time
terry [preauth]: 1 time
test [preauth]: 1 time
teste [preauth]: 1 time
tester [preauth]: 1 time
testing [preauth]: 1 time
testmail [preauth]: 1 time
testuser [preauth]: 1 time
thomas [preauth]: 1 time
tom [preauth]: 1 time
tomcat [preauth]: 1 time
tommy [preauth]: 1 time
toor [preauth]: 1 time
toyoshima [preauth]: 1 time
tristan [preauth]: 1 time
ts [preauth]: 1 time
ty [preauth]: 1 time
ubnt [preauth]: 1 time
unicorn [preauth]: 1 time
usa [preauth]: 1 time
user [preauth]: 1 time
user1 [preauth]: 1 time
user3 [preauth]: 1 time
user4 [preauth]: 1 time
usuario [preauth]: 1 time
vannesa [preauth]: 1 time
vhost [preauth]: 1 time
viktor [preauth]: 1 time
visitor [preauth]: 1 time
vivian [preauth]: 1 time
vlad [preauth]: 1 time
vmail [preauth]: 1 time
vpn [preauth]: 1 time
vpnadmin [preauth]: 1 time
vyatta [preauth]: 1 time
wanda [preauth]: 1 time
wangyi [preauth]: 1 time
web [preauth]: 1 time
webfax [preauth]: 1 time
webftp [preauth]: 1 time
webmaster [preauth]: 1 time
website [preauth]: 1 time
webuser [preauth]: 1 time
wendy [preauth]: 1 time
will [preauth]: 1 time
wink [preauth]: 1 time
www [preauth]: 1 time
xiang [preauth]: 1 time
xiao [preauth]: 1 time
yoda [preauth]: 1 time
yokoi [preauth]: 1 time
yolanda [preauth]: 1 time
yorgo [preauth]: 1 time
yuvraj [preauth]: 1 time
zimbra [preauth]: 1 time
zori [preauth]: 1 time

#6 Ubuntu v6 to v15, y la 16?

2 respuestas

HeXaN #8 May '17

#7 Ni idea, yo lo tengo en un Debian que funciona del tirón. Pero vamos, es instalar los paquetes, dudo que ponga pegas.

1 respuesta

s4suk3 #9 May '17 Penitente

#8 es sencillo de instalar o hay que saber lo que se hace?XD

2 respuestas

HeXaN #10 May '17

#9 No tiene mucho misterio, la verdad.

Jooki #11 May '17

#9 si no sabes ni hacer un ln -s sin tner que mirar una puta guia, o ni sabes de lo que te hablo, quedate en windows, por dios.

1 respuesta

xPipOx #12 May '17 Hedge Knight

#11 Linus Torvalds al aparato!

Jooki #13 May '17

al contrario, desde que hace eones acabe de red hat 7 u 8 y sus problemas de dependencias hasta los cojones que soy un windowsero empedernio, Y CON RAZON, JODER, se lo digo por su paz mental XD

1 respuesta

s4suk3 #14 May '17 Penitente

#13

2

s4suk3 #15 May '17 Penitente

esta pregunta si que es un poco noob, al usar logwatch, siguiendo el tutorial de #5

/usr/sbin/logwatch --output mail --mailto [email protected] --detail high

me llega el email sin cifrar, que debo hacer para que vaya cifrado?

2 respuestas

Merkury #16 May '17

#15 No usar mail a pelo.

Pero vamos en teoria el log no deberia contener información sensible.

AikonCWD #17 May '17 Git Gud

#15 pásalo antes por un encriptador por línea de comandos (usando un pipe) y luego el output lo mandas por mail.

1 respuesta

Merkury #18 May '17

#17 O no lo mandes por mail el log en si, si no una alerta.

1

Maca #19 May '17

La mayoría de estos ataques son guiris, una solución si no lo das solucionado con lo anterior (que lo dudo), bloquea países por ip. Si te cargas China y Rusia se van a reducir los ataques a la mitad.

Otra posibilidad es por ejemplo capar todas las ips excepto la ip que resuelva un subdominio, ese subdominio le puedes asignar la ip con cloudflare. Así la cambias según te interese.

Yo creo que si instalas CSF, cambias el puerto e instalas failtoban no te va a hacer falta llegar a casos tan drásticos.

AikonCWD #20 May '17 Git Gud

Yo en lugar de CSF he montado pfSense en una máquina dedicada (en el vCloud) y lo uso como gateway/firewall/router para todos los servidores que tengo. No puedo estar más contentento, tengo un control absoluto sobre lo que quiere entrar a mi LAN desde la WAN. Se lo recomiendo a todo el mundo pues es super sencillo de configurar.

1 1 respuesta

s4suk3 #21 May '17 Penitente

#20 podrías explicar un poco más cómo usas pfSense?

1 respuesta

HeXaN #22 May '17

#21 Tío, si te instalas CSF como recomendé, es instalar y olvidarse. Déjate de rollos y ve a lo que funciona.

1

E

elraro #23 May '17

CSF es la verdadera salud.

s4suk3 #24 May '17 Penitente

CSF bloquea nmaps por ejemplo?

HelThunk #25 May '17

Yo también recomiendo PfSense, CSF es lo más easy, pero con aprendes nada...

1 respuesta

s4suk3 #26 May '17 Penitente

#25 pero podéis vender un poco mejor pfSense?
Hace falta apache/nginx para redirigir el tráfico? habéis hecho un balanceador de carga? qué más podéis hacer?xD

1 respuesta

s4suk3 #27 May '17 Penitente

Me gustaría montar algo así:
Elastic search + kibana para monitorizar logs:

Pero mantener un elastic search potente vale mucha pasta, se podría montar en un ovh de 3e?
Y luego el tema de crear vpns entre los servidores igual es mucho lío para un proyecto simple,

HelThunk #28 May '17

#26
Aquí tienes las características (generales, puedes instalar más paquetes): https://www.pfsense.org/about-pfsense/features.html
No hace falta ningún s.web para redirigir el tráfico, aunque para mi si hace falta para configurar PfSense, su interfaz web esta muy elaborada:

En uno de los servidores patata que tenemos en clase (2GB de RAM + Dual Core) hemos puesto PfSense, configurado como Servidor DNS + DHCP + Firewall + Proxy + S.WEB apache2; consume 16% de la RAM y/o 6% de la CPU de media.

1

s4suk3 #29 May '17 Penitente

conocéis algo para crear snapshots de ubuntu? en el vps que tengo de ovh solo me dejan hacer uno

1 respuesta

B

[Borrado] #30 May '17

Una pregunta, porque se permite en los ataques de fuerza bruta, como el que comentas en #7 tantos intentos? No debería poderse habilitar una opción de bloqueo de usuario con X intentos fallidos de login?

Algo como en cuenta de dominio AD que con varios intentos fallidos de login se bloquea la cuenta.

1 respuesta

Proteger un servidor

Usuarios habituales

Tags