Buenos días. Desde hacen tres o cuatro días, logwatch me avisa de intentos de acceso via ssh.
Siguiendo este tutorial, https://www.neoguias.com/bloquear-ips-p ... -fail2ban/, cree un jail para que banee de manera permanente estas ips.
El fichero creado así, ip.blocklist.ssh esta aqui: https://pastebin.com/8BWkq0nY
Yo entiendo que fail2ban hace muy bien su trabajo, bloquea y banea esas ips (corregidme si no estoy en lo cierto, por favor).
Pero mis preguntas son:
1. ¿Por qué de repente empezaron estos ataques? ¿Hice yo algo mal, o es simplemente ataque random?
2. A parte de lo que hice con fail2ban, que otras medidas podria aplicar para minimizar/reducir estos intentos fraudulentos de conexión/ataque?
3. ¿Si modifico en ssh.conf el puerto, de 22 a cualquier otro, es suficiente? ¿O he de cambiar en sshd tambíen, poniendo el mismo puerto, claro?
Perdonad la ristra de preguntas, pero no encuentro explicación a tan repentina cantidad de ataques...
Gracias de antemano.
Ataques ssh a mi raspi.
-
egrueda
- Pi God
- Mensajes: 3426
- Registrado: 10 Feb 2017, 19:31
- Agradecido: 7 veces
- Agradecimiento recibido: 269 veces
Si tienes el puerto 22 abierto a internet, es cuestión de tiempo que alguien, de forma manual o automatizada, encuentre un servidor SSH intente forzarlo. Y cuando digo alguien, también digo algo.
Tendrás cientos o miles de conexiones desde cientos de IPs distintas.
Fail2ban bloqueará las conexiones desde una IP, pero te atacarán desde otras, y al final necesitarías tener bloqueado a medio internet.
¿Es práctico fail2ban? Si
¿Resuelve Fail2ban el problema? No
Opciones
a) No expongas el acceso SSH a todo el mundo
b) No expongas el puerto 22 a internet.
Tendrás cientos o miles de conexiones desde cientos de IPs distintas.
Fail2ban bloqueará las conexiones desde una IP, pero te atacarán desde otras, y al final necesitarías tener bloqueado a medio internet.
¿Es práctico fail2ban? Si
¿Resuelve Fail2ban el problema? No
Opciones
a) No expongas el acceso SSH a todo el mundo
b) No expongas el puerto 22 a internet.
No respondo a privados ;-)
👉 Particiones en una MicroSD
👉 Cómo pedir ayuda en el foro
Invítame a un café
👉 Particiones en una MicroSD
👉 Cómo pedir ayuda en el foro
Invítame a un café
-
Marciano
- Pi Beta
- Mensajes: 129
- Registrado: 15 Jun 2017, 21:20
- Agradecido: 2 veces
- Agradecimiento recibido: 19 veces
- Contactar:
1 - En mi opinión, es un ataque random: una red de bots ha localizado una ip con un puerto abierto y se ha lanzado a intentar conquistar acceso y unirla a la red. Lo de la red me parece claro, porque si haces whois sobre las ip atacantes verás que proceden de todas partes (USA, Alemania, Brasil, Palestina...).
2- Si tienes una ip pública dinámica, lo mejor es apagar un rato el router para que tome una nueva ip; sino, cambiar el puerto ssh y todos los demás que tengas abiertos (los menos posibles) te ayudará. Ante un ataque, tener los puertos por defecto no es una buena idea.
2- Si tienes una ip pública dinámica, lo mejor es apagar un rato el router para que tome una nueva ip; sino, cambiar el puerto ssh y todos los demás que tengas abiertos (los menos posibles) te ayudará. Ante un ataque, tener los puertos por defecto no es una buena idea.
-
danpacu
- Pi Destroyer
- Mensajes: 540
- Registrado: 27 Nov 2019, 21:42
- Agradecido: 58 veces
- Agradecimiento recibido: 25 veces
Gracias a los dos, @egrueda y @Marciano por la respuesta. Me dispongo a cambiar el puerto, a quitarlo desde el router y a comprobar luego cómo conectarme. Muy amables en echarme una mano.
Buen fin de semana, señores.
Buen fin de semana, señores.
Un saludo a tod@s!!!!!! 
-
egrueda
- Pi God
- Mensajes: 3426
- Registrado: 10 Feb 2017, 19:31
- Agradecido: 7 veces
- Agradecimiento recibido: 269 veces
Tres letras: V, P y N
No respondo a privados ;-)
👉 Particiones en una MicroSD
👉 Cómo pedir ayuda en el foro
Invítame a un café
👉 Particiones en una MicroSD
👉 Cómo pedir ayuda en el foro
Invítame a un café
