Un chino está muy interesado en entrar en mi raspberry

Si te sientes inseguro, instala fail2ban, mete reglas avanzadas en el firewall, del palo bloquear toda ip que intente acceder al puerto 25 (smtp, correo).

Pero la verdad, permitiendo el login solo con claves ssh, usando claves ssh seguras (de longitud 4096), desactivando root para ssh, deberías de estar seguro.

Yo instalaba fail2ban y me quedaba tranquilo. Lo de las claves de seguridad está bien, hasta que pierdes un pen con ella(s) o no las tienes a mano en un momento de necesidad.

nu_kru escribió:Pero la verdad, permitiendo el login solo con claves ssh, usando claves ssh seguras (de longitud 4096), desactivando root para ssh, deberías de estar seguro.

Esto es

Como curiosidad, también puedes activar la verificación en dos pasos en el SSH.
https://www.digitalocean.com/community/ ... entication

Gracias chicos.
Ayer por la noche instalé fail2ban, de momento como no tengo ninguna información importante en la rPI no voy ha hacer lo de las claves.
Comprobaré regularmente las conexiones aceptadas, o incluso puede que haga un script que lo revise y me avise si ve algo raro.

Desde ayer noche hasta ahora ha baneado ya muchas IPs:

Después de leer tu mensaje, me dio por mirar mi raspberry ayer y me encontré con que me pasa exactamente lo mismo, infinidad de intentos de conexión a mi raspberry por ssh de múltiples ips distintas.

Así que después de leer esto, deshabilité el acceso root por ssh.
Lo de las claves lo hice hace una o dos semanas porque me lo habían recomendado, y aunque no te lo creas es más sencillo de lo que parece.
Lo único que de momento tengo habilitados los dos tipos de accesos, así que, visto lo visto, tendré que deshabilitar el acceso por contraseña...

Pues me miraré lo de las claves algún rato. Era para no liar tanto, ya que me conecto desde múltiples dispositivos.

DS_impact escribió:Pues me miraré lo de las claves algún rato. Era para no liar tanto, ya que me conecto desde múltiples dispositivos.

Pues multiples claves

Para esos casos uso ipset para bloquear todo el pais de China, las dos Koreas y demas paises que no me interesan que anden mirando con sus escaneos mis equipos.

Lo uso junto al script firewall que publique por aqui no hace mucho tiempo.

amchacon escribió:

DS_impact escribió:Pues me miraré lo de las claves algún rato. Era para no liar tanto, ya que me conecto desde múltiples dispositivos.

Pues multiples claves

Bueno, también se puede usar la misma en todos los equipos, no? Lo único que dejas de poder controlar desde que equipo estas conectado, porque la clave es siempre la misma.
Al menos yo lo hago así, debería dejar de hacerlo?

Tinaut1986 escribió:

amchacon escribió:

DS_impact escribió:Pues me miraré lo de las claves algún rato. Era para no liar tanto, ya que me conecto desde múltiples dispositivos.

Pues multiples claves

Bueno, también se puede usar la misma en todos los equipos, no? Lo único que dejas de poder controlar desde que equipo estas conectado, porque la clave es siempre la misma.
Al menos yo lo hago así, debería dejar de hacerlo?

Lo lógico son multiples claves, de modo que si pierdes un dispositivo puedes anular la antigua fácilmente.

Aparte que mover claves privadas de un lado para otro no es muy correcto.

DS_impact escribió:Gracias chicos.
Ayer por la noche instalé fail2ban, de momento como no tengo ninguna información importante en la rPI no voy ha hacer lo de las claves.
Comprobaré regularmente las conexiones aceptadas, o incluso puede que haga un script que lo revise y me avise si ve algo raro.

Desde ayer noche hasta ahora ha baneado ya muchas IPs:

2017-01-06 20:54:35,337 fail2ban.actions[5018]: WARNING [ssh] Ban 116.31.116.8
2017-01-06 21:28:59,794 fail2ban.actions[5018]: WARNING [ssh] Ban 212.83.191.8
2017-01-06 21:49:11,811 fail2ban.actions[5018]: WARNING [ssh] Ban 62.210.169.190
2017-01-07 00:20:08,423 fail2ban.actions[5018]: WARNING [ssh] Ban 123.31.34.46
2017-01-07 00:34:05,890 fail2ban.actions[5018]: WARNING [ssh] Ban 124.234.137.21
2017-01-07 01:22:48,764 fail2ban.actions[5018]: WARNING [ssh] Ban 50.71.76.65
2017-01-07 01:32:35,847 fail2ban.actions[5018]: WARNING [ssh] Ban 105.110.213.203
2017-01-07 01:36:34,334 fail2ban.actions[5018]: WARNING [ssh] Ban 91.224.161.71
2017-01-07 02:04:48,272 fail2ban.actions[5018]: WARNING [ssh] Ban 124.231.36.191
2017-01-07 02:40:30,044 fail2ban.actions[5018]: WARNING [ssh] Ban 61.160.103.121
2017-01-07 03:02:27,501 fail2ban.actions[5018]: WARNING [ssh] Ban 95.83.31.95
2017-01-07 03:07:30,118 fail2ban.actions[5018]: WARNING [ssh] Ban 194.54.80.108
2017-01-07 03:27:35,335 fail2ban.actions[5018]: WARNING [ssh] Ban 37.229.67.24
2017-01-07 03:30:20,698 fail2ban.actions[5018]: WARNING [ssh] Ban 188.158.42.234
2017-01-07 03:47:57,722 fail2ban.actions[5018]: WARNING [ssh] Ban 59.177.166.33
2017-01-07 03:48:34,866 fail2ban.actions[5018]: WARNING [ssh] Ban 62.210.180.230
2017-01-07 03:56:39,877 fail2ban.actions[5018]: WARNING [ssh] Ban 218.65.30.122
2017-01-07 05:19:16,240 fail2ban.actions[5018]: WARNING [ssh] Ban 112.238.222.95
2017-01-07 05:25:47,074 fail2ban.actions[5018]: WARNING [ssh] Ban 177.129.204.29
2017-01-07 06:40:41,789 fail2ban.actions[5018]: WARNING [ssh] Ban 195.154.58.153
2017-01-07 06:48:50,827 fail2ban.actions[5018]: WARNING [ssh] Ban 123.31.31.129
2017-01-07 06:53:13,405 fail2ban.actions[5018]: WARNING [ssh] Ban 114.205.162.53
2017-01-07 07:00:56,413 fail2ban.actions[5018]: WARNING [ssh] Ban 91.224.160.176
2017-01-07 07:25:00,340 fail2ban.actions[5018]: WARNING [ssh] Ban 119.193.140.205
2017-01-07 07:59:40,544 fail2ban.actions[5018]: WARNING [ssh] Ban 117.173.214.252
2017-01-07 08:05:15,327 fail2ban.actions[5018]: WARNING [ssh] Ban 194.88.46.230
2017-01-07 09:20:49,611 fail2ban.actions[5018]: WARNING [ssh] Ban 210.198.198.19
2017-01-07 09:44:31,617 fail2ban.actions[5018]: WARNING [ssh] Ban 123.31.34.77
2017-01-07 10:08:57,736 fail2ban.actions[5018]: WARNING [ssh] Ban 113.123.39.224
2017-01-07 10:14:28,523 fail2ban.actions[5018]: WARNING [ssh] Ban 123.31.34.56
2017-01-07 10:37:57,645 fail2ban.actions[5018]: WARNING [ssh] Ban 41.82.174.16
2017-01-07 11:24:26,624 fail2ban.actions[5018]: WARNING [ssh] Ban 60.242.57.207
2017-01-07 11:53:23,478 fail2ban.actions[5018]: WARNING [ssh] Ban 81.18.62.88
2017-01-07 11:53:37,585 fail2ban.actions[5018]: WARNING [ssh] Ban 115.211.194.47
2017-01-07 12:04:53,097 fail2ban.actions[5018]: WARNING [ssh] Ban 177.193.62.54
2017-01-07 12:57:55,068 fail2ban.actions[5018]: WARNING [ssh] Ban 115.237.147.178


Creo recordar que en el mismo fail2ban en el ficheros de configuración puedes configurar para que te envie notificaciones a un correo determinado

@Newton Es verdad que algo vi en el fichero de configuración. Pensaba que solo era para las rechazadas pero si también permite avisar sobre aceptadas le echaré un ojo.

DS_impact escribió:@Newton Es verdad que algo vi en el fichero de configuración. Pensaba que solo era para las rechazadas pero si también permite avisar sobre aceptadas le echaré un ojo.

Aviso: Te va a colapsar la bandeja de entrada.

yo me hice un script que busca las ips que han fallado el acceso y los hace un drop en iptables (lo hice hace siglos)

https://github.com/kianxineki/block_ssh_bots

También ponía un nginx sin nada y baneaba a esas ips xD

lo de web tmb es brutal, la de phpmyadmins rompibles que debe haber por ahi...

amchacon escribió:

DS_impact escribió:@Newton Es verdad que algo vi en el fichero de configuración. Pensaba que solo era para las rechazadas pero si también permite avisar sobre aceptadas le echaré un ojo.

Aviso: Te va a colapsar la bandeja de entrada.

jajaj, hombre la idea seria avisar solo si consiguen hacer login correcto.

A mi me pasó lo mismo hace unos años con la raspi y adopté una solución que no se ha comentado x aquí. Cambiar el puerto por defecto de ssh del 22 a otro.

manic miner escribió:A mi me pasó lo mismo hace unos años con la raspi y adopté una solución que no se ha comentado x aquí. Cambiar el puerto por defecto de ssh del 22 a otro.

Porque no ofrece mucha seguridad real. Solo sirve para acallar los logs.

amchacon escribió:

manic miner escribió:A mi me pasó lo mismo hace unos años con la raspi y adopté una solución que no se ha comentado x aquí. Cambiar el puerto por defecto de ssh del 22 a otro.

Porque no ofrece mucha seguridad real. Solo sirve para acallar los logs.

Ofrece seguridad por ocultamiento, que es algo. Te salva de escaneos en busca de servicios mal configurados o por defecto. Imagina que quieres poner una web para pishing (vamos que te da igual de quien sea el servidor), pues te pones a buscar servidores que tengan el puerto 22 respondiendo con ssh (luego intentar entrar), no te pones a buscar en cada ip a ver si algun otro puerto (y son mas de 60000) responde al ssh (y mas cuando es mas probable que ese servidor este mejor protegido).

Pero si van a por tí el resultado es el mismo que dejarlo en el puerto 22. En este caso no aporta nada.

a mi me pasaba igual. fail2ban y hale!

La de banear a china es buena. Me la apunto. De hecho, para una raspberry, sólo admitiria conexiones desde España.

Esog Enaug escribió:

amchacon escribió:

manic miner escribió:A mi me pasó lo mismo hace unos años con la raspi y adopté una solución que no se ha comentado x aquí. Cambiar el puerto por defecto de ssh del 22 a otro.

Porque no ofrece mucha seguridad real. Solo sirve para acallar los logs.

Ofrece seguridad por ocultamiento, que es algo. Te salva de escaneos en busca de servicios mal configurados o por defecto. Imagina que quieres poner una web para pishing (vamos que te da igual de quien sea el servidor), pues te pones a buscar servidores que tengan el puerto 22 respondiendo con ssh (luego intentar entrar), no te pones a buscar en cada ip a ver si algun otro puerto (y son mas de 60000) responde al ssh (y mas cuando es mas probable que ese servidor este mejor protegido).

Pero si van a por tí el resultado es el mismo que dejarlo en el puerto 22. En este caso no aporta nada.

La seguridad por ocultamiento es falsa seguridad. Cambiar el puerto por defecto no hace que tu servicio sea mas seguro, es mas, puede que sea mas inseguro.

Los puertos inferiores a 1024 son puertos que solo pueden ser levantados por root. Así que cualquier usuario puede escribir un script que escuche por un puerto superior a 1024 e imitar a ssh para escuchar contraseñas.

Otro problema añadido es que te puedes encontrar aplicaciones a los que no puedes cambiar el puerto por defecto.

Es mas facil que un firewall tenga abierto el puerto 22 que un puerto random.

La única solución buena es desactivar cuenta de root y forzar claves ssh seguras.

La seguridad por ocultamiento es falsa seguridad.

Esog Enaug escribió:Ofrece seguridad por ocultamiento, que es algo. Te salva de escaneos en busca de servicios mal configurados o por defecto. Imagina que quieres poner una web para pishing (vamos que te da igual de quien sea el servidor), pues te pones a buscar servidores que tengan el puerto 22 respondiendo con ssh (luego intentar entrar), no te pones a buscar en cada ip a ver si algun otro puerto (y son mas de 60000) responde al ssh (y mas cuando es mas probable que ese servidor este mejor protegido).

Pero si van a por tí el resultado es el mismo que dejarlo en el puerto 22. En este caso no aporta nada.

Y además creo puede servir para separar el trigo de la paja. Si estas usando otro puerto, y ves intentos de acceso, es más posible que sea algo serio o personal, y no simplemente los escaneos rutinarios que hacen las botnets.

Te recomiendo un artículo bastante interesante para securizar SSH con Latch: My SSH in Paranoid Mode: Port-knocking + Latch + Latch Cloud TOTP (+ Latch).

Un saludo

Verificación en 2 pasos es en mi opinión la mejor opción. Eso y tener una clave de 50 o 60 carácteres. Mano de santo.

crivendel escribió:Verificación en 2 pasos es en mi opinión la mejor opción. Eso y tener una clave de 50 o 60 carácteres. Mano de santo.

Solamente con agregar buenos parametros de seguridad al servidor ssh y el cliente, mas una buena clave y problema resuelto por un buen rato.

Ayer publique mis archivos de configuracion de ssh al publico, solo que no esta la generacion de la llave, se me paso ese paso.

Con este comando, se genera una fuerte llave, de muy corta longitud a nivel de peso en bytes y con lo ultimo en criptografia de curvas. Y claro, como todo en materia de seguridad, esto es un por ahora.


Se pone mas fuerte el asunto, si le agregas un clave de paso a esa llave, aqui poner los caracteres de longuitud deseada, haciendo mas dificil el asunto a los chinos.

Por ultimo, usar el port knocking como recomiendan aqui.

crivendel escribió:Verificación en 2 pasos es en mi opinión la mejor opción. Eso y tener una clave de 50 o 60 carácteres. Mano de santo.

Te deben doler los dedos de tanto teclear

¿Con una RSA no te vale? Es totalmente inviable crackear un RSA de 2048 bits.

Y la clave privada la puedes encriptar con una contraseña por si perdieras el pc, que para algo a nivel local te vale una normalita de 10 caracteres

amchacon escribió:

crivendel escribió:Verificación en 2 pasos es en mi opinión la mejor opción. Eso y tener una clave de 50 o 60 carácteres. Mano de santo.

Te deben doler los dedos de tanto teclear

¿Con una RSA no te vale? Es totalmente inviable crackear un RSA de 2048 bits.

Y la clave privada la puedes encriptar con una contraseña por si perdieras el pc, que para algo a nivel local te vale una normalita de 10 caracteres

Lo que hago puede sonar cutre, pero a mi me funciona:

Creo una cuenta de gmail y le meto verificación en 2 pasos. Creo un excel y anoto las contraseñas del servidor (50 o 60 carácteres).
Configuro el servidor y le meto verificación en 2 pasos.

Total, que para hackearme mediante la contraseña la única solución es que tengan mi movil. Por fuerza bruta es completamente imposible.

crivendel escribió:

amchacon escribió:

crivendel escribió:Verificación en 2 pasos es en mi opinión la mejor opción. Eso y tener una clave de 50 o 60 carácteres. Mano de santo.

Te deben doler los dedos de tanto teclear

¿Con una RSA no te vale? Es totalmente inviable crackear un RSA de 2048 bits.

Y la clave privada la puedes encriptar con una contraseña por si perdieras el pc, que para algo a nivel local te vale una normalita de 10 caracteres

Lo que hago puede sonar cutre, pero a mi me funciona:

Creo una cuenta de gmail y le meto verificación en 2 pasos. Creo un excel y anoto las contraseñas del servidor (50 o 60 carácteres).
Configuro el servidor y le meto verificación en 2 pasos.

Total, que para hackearme mediante la contraseña la única solución es que tengan mi movil. Por fuerza bruta es completamente imposible.

¿En vez de la hoja de cálculo no prefieres utilizar Keepass?
Yo uso Keepassx y estoy encantado.

crivendel escribió:

amchacon escribió:

crivendel escribió:Verificación en 2 pasos es en mi opinión la mejor opción. Eso y tener una clave de 50 o 60 carácteres. Mano de santo.

Te deben doler los dedos de tanto teclear

¿Con una RSA no te vale? Es totalmente inviable crackear un RSA de 2048 bits.

Y la clave privada la puedes encriptar con una contraseña por si perdieras el pc, que para algo a nivel local te vale una normalita de 10 caracteres

Lo que hago puede sonar cutre, pero a mi me funciona:

Creo una cuenta de gmail y le meto verificación en 2 pasos. Creo un excel y anoto las contraseñas del servidor (50 o 60 carácteres).
Configuro el servidor y le meto verificación en 2 pasos.

Total, que para hackearme mediante la contraseña la única solución es que tengan mi movil. Por fuerza bruta es completamente imposible.

No es el primero que veo con esa técnica

No esque sea mala, pero es altamente centralizada. Si falla, todo se puede venir abajo.

La forma más sencilla que se me ocurre esque te dejes la sesión abierta en un pc público.

Un RSA con pass no deja de ser una verificacion en dos pasos, mas dificil de romper y que usando una key por equipo mucho mas tolerante a fugas/errores

yo creo que lo mas seguro es no publicar el ssh por la wan,y poner un servidor openvpn,

saludos

akuaman escribió:yo creo que lo mas seguro es no publicar el ssh por la wan,y poner un servidor openvpn,

saludos

Yo es lo que hago, me es mas facil y comodo acceder a cualquier servicio de la lan con solo conectar el cliente que tener que andar montando tuneles xD

Buenas.

En mis servidores siempre deshabilito el inicio de sesión con root mediante SSH. También configuro que sólo sea posible acceder mediante certificados, y cambio el puerto predeterminado a otro, de los 1024 primeros, que no utilice ningún otro servicio de la máquina.

Además de evitar que el log se llene de basura, cambiando el puerto evitas que el servidor pierda tiempo denegando intentos de inicios de sesión. Simplemente nunca llegan a producirse, por lo que ni se pierde tiempo denegándolos ni se registran.

No te protege si van a por ti, pero como tampoco tiene desventajas, ¿por qué no hacerlo?

La opción de la VPN es buena, voy a explorarla para futuros despliegues