Tareas #6247

Acceso de los adminstradores de systemas a la plataforma de servicios

Added by Victor Alem over 1 year ago. Updated about 1 year ago.

Status:ResueltaStart date:06/20/2019
Priority:NormalDue date:
Assignee:TLecom% Done:

100%

Category:-Spent time:-
Target version:-

Description

Definir una máquina para el acceso por ssh a la plataforma de servicios. Esta máquina será la puerta de entrada para los administradores. Como el servicio SSH es bastante atacado, vamos a tomar dos medidas de seguridad:
  • Cambiar el puerto estándar del ssh a un puerto no estándar a definir
  • Instalar y configurar el software fail2ban para el servicio ssh

fail2ban.png (91.2 KB) Edison Terra, 06/20/2019 05:44 PM

ssh.png (58.3 KB) Edison Terra, 06/20/2019 05:54 PM

4307
4308

History

#1 Updated by Edison Terra over 1 year ago

Cambiar el puerto estándar de SSH

Para cambiar el puerto por defecto de ssh a uno no estándar debemos ingresar en el equipo al siguiente archivo:

 nano /etc/ssh/sshd_config

y en la descomentamos donde dice 'Port' y borramos el '22' que viene por defecto e introducimos uno no estándar (mayor de 1024) cualquiera como por ejemplo '10564'

Luego reiniciamos el servicio:

 systemctl restart sshd.service

Luego para ingresar por ssh debemos indicar el puerto elegido por medio del parámetro '-p', donde '164.73.226.xxx' es la ip de la maquina en la que hicimos dicha configuración:

 ssh 'usuario'@'164.73.226.xxx' -p 10564

Instalación de Fail2Ban:

La instalación la podemos realizar desde apt directamente. Primero actualizamos la lista de paquetes del sistema y luego instalamos Fail2ban:

 apt-get update
 apt-get install fail2ban

Configuración de Fail2Ban

Lo primero que se debe hacer es copiar el archivo de configuración por defecto de fail2ban que se encuentra en 'nano /etc/fail2ban/jail.conf ' y lo copiamos como 'jail.local' que será ejecutado y asi no sobreescribimos las configuraciones que se encuentran en jail.conf.

Lo copiamos de la siguiente manera:

 cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

y lo configuramos de la siguiente manera:

 nano /etc/fail2ban/jail.local 

Una vez en el archivo podemos configurar los siguiente campos que son los mas comunes para evitar que ingresen a nuestro equipo:

  1. Ignoreip: Aquí lo que se puede hacer es poner las IPs que queremos que fail2ban no deje fuera del servicio ssh bajo ningún concepto, esto es util para empresaa o una red local donde esta alojado el servidor Linux. Por defecto nos trae la IP 127.0.0.1 que es la interfaz del servidor Linux esto es util para evitar banearse a si mismo ademas podemos añadir mas IPs o unas red que que no queremos que sea baneada.
  1. Bantime: Es el tiempo que queremos que banee la IP que ha intentado acceder a nuestro equipo luego de equivocarse la contraseña mas de las veces especificadas. El tiempo esta en segundos, por lo que si queremos banear por 24 horas por ejemplo se hace de la siguiente manera: 24h * 60min * 60seg = 86400 segundos.
  1. Maxretry: Es el numero máximo de intentos erroneos que queremos que fail2ban no tome en cuenta antes de banear la IP, por lo general se suelen poner cinco fallos como máximo, pero es opcional.

En nuestro caso de hizo de la siguiente manera:

 ignoreip = 127.0.0.1 164.73.226.192/24  #incluimos la red con la que trabaja nuestra red

 bantime = 86400  

 maxretry = 5 # por defecto

Otra cosa que se puede hacer es configurar el apartado de [ssh-iptables] si es que esta activo para el servicio de ssh para que se nos notifique mediante un mail al banear una ip o guardarlo en un archivo.

 enabled = true
 filter = sshd
 action = iptables[name=SSH, port=22, protocol=tcp]
 logpath = /var/log/auth.log
 maxretry = 5

Otra alternativa es instalar es siguiente software:

 apt-get install sendmail

y en el archivo jail.local anteriormente configurado ingresamos el siguiente campo que especifica a que dirección se harán los avisos de baneo:
Una vez instalado generamos un mail de prueba

 sender = tlecom@........

Por ultimo una vez configurado reiniciamos el sistema y comprobamos que este funcionando:

 service fail2ban restart
 service fail2ban status

Referencias:

[[https://www.driverlandia.com/instalar-y-configurar-fail2ban-en-debian/]]

[[https://geekland.eu/instalar-configurar-y-usar-fail2ban-para-evitar-ataques-de-fuerza-bruta/]]

#2 Updated by Edison Terra over 1 year ago

#3 Updated by Edison Terra over 1 year ago

  • % Done changed from 0 to 100

#4 Updated by Edison Terra over 1 year ago

  • Status changed from Nueva to Resuelta

Also available in: Atom PDF