SSH: acceso seguro con iptables

Publicado por fher98 on 6/25/07 • bajo Articulos,Debian,Gentoo,Howto,IP,IPfilter,Internetworking,Iptables,Kernel,Linux,Mandriva,Protocolos,Redhat,Seguridad,Suse,Ubuntu

Prevenir ataques de diccionario sobre ssh

Existen varios gusanos que atacan las vulnerabilidades de servidores SSH utilizando diccionarios. Esto no deberia de ser un problema si contamos con una buena politica de contrasenas, de lo contrario, existen otras formas de asegurar nuestro servicio de SSH.
La forma mas obvia de prevenir el acceso al host, es permitiendo las conexiones de un reducido grupo de direcciones IP, utilizando un firewall.

Si actualmente estan corriendo un firewall le pueden agregar lo siguiente:

  • Aceptar conexiones SSH entrantes desde direcciones confiables.
  • Botar las demas conexiones.

Usando los comandos del firewall iptables de la siguiente manera:

  • Todas las conexiones desde la direccion 192.168.1.200 al puerto 22 (SSH)
    • deathbian:~# iptables -A INPUT -p tcp -m state --state NEW --source 192.168.1.200 --dport 22 -j ACCEPT
  • Denegar las demas conexiones a SSH
    • deathbian:~# iptables -A INPUT -p tcp --dport 22 -j DROP

Si no desean utilizar un firewall es posible restringir el acceso de otra manera. Los paquetes de openSSH para Debian estan compilados con soporte para tcpwrappers, con lo cual podemos especificar cuales clientes se pueden conectar sin tocar el firewall.

Supongamos que deseamos permitir acceso a las IP’s 192.168.1.200 y 172.16.100.1, entonces editamos el archivo a continuacion:

archivo: /etc/hosts.allow 
sshd: 192.168.1.200/255.255.255.0
sshd: 172.16.100.1/255.255.0.0

Luego, para denegar acceso :

archivo: /etc/hosts.deny 
sshd: ALL

Asi mismo tambien podemos ver el archivo de configuracion del SSH, este tiene varias opciones de seguridad a nuestra disposicion.

El servicio de SSH esta configurado en el archivo /etc/ssh/sshd_config. Se es necesario se puede restringir el acceso remoto a usuarios especificos.

Por ejemplo, solo le vamos a permitir el acceso a los usuarios joe y fher98 de la siguiente manera:

AllowUsers joe fher98

Luego de reiniciar el servicio con /etc/init.d/ssh restart los demas usuarios no podran conectarse al servidor via SSH.

Asi mismo podemos denegar explicitamente el acceso a ciertos usuarios:

DenyUsers invitado usuario01

Si es necesario, y probablemente lo es, podemos denegar el acceso del usuario root remotamente, de la siguiente manera:

PermitRootLogin no

En http://fail2ban.sourceforge.net/ encontraremos una pequena herramienta escrita en Python, la cual automaticamente busca en los logs (bitacoras) del sistema y censura el acceso desde IP's con muchos fallos de contraseña.

Popularity: 8% [?]


Otros articulos de interes:

  1. Bloquear o denegar el acceso via Openssh al usuario root
  2. Configurar sshd para mostrar un banner de acceso antes del login
  3. Como configurar un gateway simple con Linux Debian
  4. Servicio ftp con usuarios fantasma
  5. Encriptacion con OpenSSH – Como generar y configurar una llave publica en Linux
  6. Creando un repositorio de paquetes de Debian
  7. Instalando Java en Linux Debian sarge/etch/lenny/sid
  8. Filtro de contenido – Plugin Antivirus
  9. Como encontrar informacion basica del hardware desde Linux
  10. Cómo utilizar apt-get/aptitude detrás del servidor proxy – Debian/Ubuntu

Etiquetado como: , , , , , , , , ,

Por favor, escriba un comentario

Por favor tome en cuenta lo siguiente:
Los comentarios son moderados, por lo cual puede tardar en ser publicados. No hay necesidad de repetir su comentario.
Su correo electronico nunca sera revelado.

Terminos de busqueda


  • iptables ssh
  • puerto ssh iptables ubuntu
  • ssh en iptable
  • permitir el acceso a usuario al ssh
  • levantar ssh ubuntu
  • configuracion iptables ssh
  • opensuse habilitar conexion ssh
  • iptables restringir acceso por ip
  • solaris puertos ssh
  • habilitar ssh por iptables
  • iptables restringir acceso a la LAN
  • linux ssh seguro
  • restringir acceso ssh a servidor linux
  • LEVANTAR SSH EN SUSE
  • host puerto 22 windows
  • levantar servicio ssh red hat 5
  • iptables
  • iptalbes aceptar conexiones ssh
  • iptables ssh restringir
  • iptables bloquear ssh
  • iptables guia de referencia
  • configuracion ssh ubuntu log
  • iptables permitir ssh entrante
  • habilitar iptables debian
  • no puedo iniciar sesion en solaris 10 solo por ssh
  • permitir acceso a puerto 25 en suse
  • usar iptables con shh
  • ubuntu 10 04 ssh configurar acceso
  • suse server permitir ssh remoto
  • ssh restringir accesos
  • ssh invitado usuario windowsxp
  • ssh con iptables
  • ssh como habilitar a un usuario
  • solaris puerto ssh
  • solaris activar puerto 22
  • servicio ssh solaris
  • security shell server windows habilitar puerto
  • restringir ssh con squid
  • restringir conexiones por ssh
  • reiniciar ssh en centos
  • puerto 22 ssh windows server 2008
  • permitir acceso por ssh en el firewall cento
  • usar iptables con ssh
  • abrir puerto 22 debian
  • acceso remoto a windows por ssh
  • aceptar conexiones ssh red
  • aceptar ssh en solaris
  • activar ssh en centos
  • bloquear conexiones entrantes iptables
  • bloquear live messenger hosts deny ubuntu
  • bloquear ssh en linux con iptables
  • bloquear ssh para ciertos ips debian
  • abrir ssh iptable
  • abrir puertos ssh ubuntu 10 04
  • abrir puerto 22 en solaris
  • abrir puerto 22 en solaris 10
  • abrir puerto 22 en ubuntu
  • abrir puerto 22 solaris
  • abrir puerto 22 windows server
  • abrir puerto fedora 11 iptables