Segurança no SSH via plugins da PAM

Neste artigo veremos como proteger nossos servidores Unix utilizando console de administração via SSH contra ataques de brute-force usando o plugin pam_abl para PAM (Pluggable Authentication Module).

[ Hits: 47.469 ]

Por: Anderson L Tamborim em 14/06/2007 | Blog: http://y2h4ck.wordpress.com


Projeto sob-fogo: testando a segurança



Agora que já realizamos todos os procedimentos necessários para configuração de nossa solução de segurança para o sistema SSH, iremos realizar um teste, para realmente validar se ela está de acordo com as reais necessidades de nosso ambiente.

Para realizar os testes basta fazermos com que o usuário root por exemplo tente logar-se no SSH por N vezes seguidas, sendo N um número maior ou igual ao configurado na policy rule do arquivo /etc/security/pam_abl.conf.

Como na configuração sugerida colocamos 3 tentativas com erro na autenticação em um período de 1 Hora, basta que realizemos 4 tentativas seguidas de acesso sem sucesso ao servidor.

Para fazer isto, é simples, basta colocarmos 4 vezes a senha erroneamente.

Vejamos os logs abaixo:

# tail -f /var/log/messages
Jun 12 17:42:06 mephisto sshd[4456]: error: PAM: Authentication failure for root from 192.168.100.2
Jun 12 17:42:07 mephisto sshd[4456]: error: PAM: Authentication failure for root from 192.168.100.2
Jun 12 17:42:08 mephisto sshd[4456]: error: PAM: Authentication failure for root from 192.168.100.2

<-- agora o quarto e fatal erro :-) -->

Jun 12 17:42:19 mephisto sshd[4465]: error: PAM: Authentication failure for root from 192.168.100.2
Jun 12 17:42:20 mephisto pam_abl[4475]:Blocking access from 192.168.100.2 to service ssh, user root

Agora, mesmo que o host 192.168.100.2 tente logar-se utilizando a senha correta, o acesso não será mais garantido a menos que o purge-time seja atingido (1 dia) ou que o administrador limpe o hosts.db que o pam_abl criou.

O sistema funciona muito bem e com certeza irá ajuda-lo muito a proteger seu acesso remoto de bisbilhoteiros.

Página anterior     Próxima página

Páginas do artigo
   1. Prólogo
   2. Introdução - Segurança no acesso remoto
   3. pam_abl: principais características
   4. Projeto sob-fogo: testando a segurança
   5. Melhores práticas: uso de serviço SSH
   6. Conclusão
Outros artigos deste autor

PSAD: Port Scan Attack Detector

OpenVZ: Virtualização para servidores Linux

SECtool - Análise Local para Linux

Seguraça extrema com LIDS

Análise Passiva: Analisando seu tráfego de maneira segura

Leitura recomendada

Squid 3 - Instalação no Debian/Ubuntu

Snort + ACID + MySQL no Slackware

Segurança para leigos

SSH Blindado - Protegendo o seu sistema de ataques SSH

OUTGUESS: Oculte mensagens em fotos

  
Comentários
[1] Comentário enviado por powerd0wn em 14/06/2007 - 13:36h

Ae, mano... show de bola seu artigo hein?! =)
Achei interessante seus agradecimentos! ahaahauahu

Valeu!

[]'s

Rodrigo Martins

[2] Comentário enviado por peregrino em 14/06/2007 - 14:20h

tinha que ser um tutorial do y2h4ck mesmo rss

e aee tava sumido en

at+

[3] Comentário enviado por removido em 14/06/2007 - 14:52h

Belo artigo, apesar de alguns módulos do PAM apresentarem vulnerabilidades.

[4] Comentário enviado por y2h4ck em 14/06/2007 - 15:01h

Bom, oque vc disse ai é o mesmo que dizer assim :

"Legal seu artigo sobre Network, pena que o TCP/IP apresenta vulnerabilidades."
Bom, pesquisando no SecurityFocus, não encontrei nenhuma para pam_abl :)

Abraços amigo.

[5] Comentário enviado por everton_ht em 14/06/2007 - 15:07h

ótimo artigo!! congratz
logo me será útil :D

[6] Comentário enviado por removido em 14/06/2007 - 15:44h

Também não encontrei, mas é uma pena para o pacote do PAM ter uns módulos com vulnerabilidades. Sempre é bom dar uma pesquisada nesses módulos do PAM para ver se tem alguma vulnerabilidade. Que bom que o módulo pam_abl não tem.

Abraços, Leonardo.

[7] Comentário enviado por fernoliv em 15/06/2007 - 00:21h

Anderson, meus parabéns!

Seus artigos são muito bem escritos e oferecem uma grande ajuda aos seus leitores.

Com estas dicas podemos melhorar muito o nível de segurança dos nossos servidores Linux.

Abraços,

Fernando.

[8] Comentário enviado por Journeyman em 15/06/2007 - 10:48h

Realmente muito bom o artigo.

Eu pessoalmente estava sofrendo ataques por força bruta na porta 22, isso aocntecia principalmente quando eu estava baixando torrents de coisas pra linux. Quando eu estava baixando a última versão do debian, por exemplo, o arquivo de logs "enlouqueceu" de tantas tentativas de acesso na base da tentativa e erro!

Nunca mais tive esse problema depois que troquei a porta de acesso (na realidade fiz um redirect de porta no roteador pra n ter que alterar os arquivos de configuração, o que auxilia no caso de reinstalações) e limitei o número máximo de tentativas pra 3.

Abraços.

[9] Comentário enviado por rndasi em 03/11/2007 - 11:17h

Bom dia a todos.

Parabéns pelo artigo.

Segui o artigo a risca no Debian 4.0 Etch R0 e no R1 e em nenhum dos 2 ele bloqueava o host.
Pesquisando na net, achei o seguinte patch : http://www.jikos.cz/~jbohac/goodies/pam_abl.patch

Fiz as alterações necessárias para que ele instalasse no diretório correto, apliquei o Patch e fiz a instalação seguindo todos os passos daqui.

Depois disso começou a funcionar.

Espero que ajude quem enfrenta o mesmo problema que eu.

Abraço


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts