Proteger un servidor

s4suk3

Buenas

Hace algún tiempo por falta de experiencia y demasiada confianza me entraron en un server ubuntu por ssh mediante fuerza bruta.
Desde esa, puse medidas básicas de seguridad como:

-Eliminar el ssh por contraseña (solo por publickey)
-Eliminar el ssh para el usuario root
-Instalar el fail2ban

Pese a ello veo el log lleno de escoria, me gustaría saber que más puedo hacer y una preguntilla:
Se puede bloquear los intentos ssh por país? ya que la mayoría de bots no vienen de España precisamente.

Cualquier sugerencia es bienvenida!

B

Permitiendo solo claves ssh no se te van a meter via ssh "jamás". Si lo que quieres es ver menos intentos de logeo en los logs cambia el puerto ssh.

1 1 respuesta
Traber

Lo de los logs lo veo como algo normal, es lógico que intenten tirar el SSH, normalmente son bots que tratan de entrar en servidores, si fueran ataques dirigidos ya me mosquearía, pero es más normal de lo que uno puede pensar xD.

No obstante, como dice #2 habilitar el login con claves SSH te evitas este tipo de ataques.

Jooki

pues a mi el ssh ni lo tocan, pero el ftp......

iba a decir, cambia el puerto, pero ya te lo han dicho.

ke2g

esta guía es un buen comienzo:

https://www.codelitt.com/blog/my-first-10-minutes-on-a-server-primer-for-securing-ubuntu/

o su versión hardcore:

https://www.inversoft.com/guides/2016-guide-to-user-data-security

Esta muy orientado a temas web, pero vamos que muchas cosas aplican a cualquier servidor linux.

1 1 respuesta
HeXaN

CSF y a tirar millas.

https://configserver.com/cp/csf.html

1 1 respuesta
s4suk3

instalé el logwatch y es gracioso ver los intentos de los bots

spoiler

#6 Ubuntu v6 to v15, y la 16? :psyduck:

2 respuestas
HeXaN

#7 Ni idea, yo lo tengo en un Debian que funciona del tirón. Pero vamos, es instalar los paquetes, dudo que ponga pegas.

1 respuesta
s4suk3

#8 es sencillo de instalar o hay que saber lo que se hace?XD

2 respuestas
HeXaN

#9 No tiene mucho misterio, la verdad.

Jooki

#9 si no sabes ni hacer un ln -s sin tner que mirar una puta guia, o ni sabes de lo que te hablo, quedate en windows, por dios.

1 respuesta
xPipOx

#11 Linus Torvalds al aparato!

Jooki

al contrario, desde que hace eones acabe de red hat 7 u 8 y sus problemas de dependencias hasta los cojones que soy un windowsero empedernio, Y CON RAZON, JODER, se lo digo por su paz mental XD

1 respuesta
s4suk3

#13

2
s4suk3

esta pregunta si que es un poco noob, al usar logwatch, siguiendo el tutorial de #5

/usr/sbin/logwatch --output mail --mailto [email protected] --detail high

me llega el email sin cifrar, que debo hacer para que vaya cifrado? :psyduck:

2 respuestas
Merkury

#15 No usar mail a pelo.

Pero vamos en teoria el log no deberia contener información sensible.

AikonCWD

#15 pásalo antes por un encriptador por línea de comandos (usando un pipe) y luego el output lo mandas por mail.

1 respuesta
Merkury

#17 O no lo mandes por mail el log en si, si no una alerta.

1
Maca

La mayoría de estos ataques son guiris, una solución si no lo das solucionado con lo anterior (que lo dudo), bloquea países por ip. Si te cargas China y Rusia se van a reducir los ataques a la mitad.

Otra posibilidad es por ejemplo capar todas las ips excepto la ip que resuelva un subdominio, ese subdominio le puedes asignar la ip con cloudflare. Así la cambias según te interese.

Yo creo que si instalas CSF, cambias el puerto e instalas failtoban no te va a hacer falta llegar a casos tan drásticos.

AikonCWD

Yo en lugar de CSF he montado pfSense en una máquina dedicada (en el vCloud) y lo uso como gateway/firewall/router para todos los servidores que tengo. No puedo estar más contentento, tengo un control absoluto sobre lo que quiere entrar a mi LAN desde la WAN. Se lo recomiendo a todo el mundo pues es super sencillo de configurar.

1 1 respuesta
s4suk3

#20 podrías explicar un poco más cómo usas pfSense?

1 respuesta
HeXaN

#21 Tío, si te instalas CSF como recomendé, es instalar y olvidarse. Déjate de rollos y ve a lo que funciona.

1
E

CSF es la verdadera salud.

s4suk3

CSF bloquea nmaps por ejemplo?

HelThunk

Yo también recomiendo PfSense, CSF es lo más easy, pero con aprendes nada...

1 respuesta
s4suk3

#25 pero podéis vender un poco mejor pfSense?
Hace falta apache/nginx para redirigir el tráfico? habéis hecho un balanceador de carga? qué más podéis hacer?xD

1 respuesta
s4suk3

Me gustaría montar algo así:
Elastic search + kibana para monitorizar logs:

Pero mantener un elastic search potente vale mucha pasta, se podría montar en un ovh de 3e?
Y luego el tema de crear vpns entre los servidores igual es mucho lío para un proyecto simple, :psyduck:

HelThunk

#26
Aquí tienes las características (generales, puedes instalar más paquetes): https://www.pfsense.org/about-pfsense/features.html
No hace falta ningún s.web para redirigir el tráfico, aunque para mi si hace falta para configurar PfSense, su interfaz web esta muy elaborada:

En uno de los servidores patata que tenemos en clase (2GB de RAM + Dual Core) hemos puesto PfSense, configurado como Servidor DNS + DHCP + Firewall + Proxy + S.WEB apache2; consume 16% de la RAM y/o 6% de la CPU de media.

1
s4suk3

conocéis algo para crear snapshots de ubuntu? en el vps que tengo de ovh solo me dejan hacer uno

1 respuesta
B

Una pregunta, porque se permite en los ataques de fuerza bruta, como el que comentas en #7 tantos intentos? No debería poderse habilitar una opción de bloqueo de usuario con X intentos fallidos de login?

Algo como en cuenta de dominio AD que con varios intentos fallidos de login se bloquea la cuenta.

1 respuesta