se me metieron al servidor

Forums: 

Tengo un servidor con centos 5.8 y el cual lo tenia configurado con una direccion ip fija para entrar remotamente desde internet, hace unos dias uno de los usuarios intento entrar pero la clave no le respondia, gracias a otra clave root que tenia pude ingresar y recuperar las claves q el intruso habia cambiado me di cuenta q el sujeto duro medio dia intentando ingresar hasta que lo consiguió gracias a un archivo que vi en /var/log/messages cambie las claves , pero nuevamente al siguiente dia intento ingresar nuevamente por q opte deshabilitar el acceso remoto, pero el lio esta en que es necesario pòr q hay empleados en otras sucursales q necesitan trabajar en este servidor. Como puedo hacer para proteger mi servidor de intrusos teniendo en cuenta que la aplicación que trabajos utiliza el SSH y el TELNET para comunicarse

Muchas gracias por su colaboracion

jhon1946

bueno hay muchas y variadas

Imagen de falcom

bueno hay muchas y variadas opciones: selinux, iptables (con drop for all x default solo habilita el pto 22 para el ssh), fail2ban
cambia el pto x default de ssh y asegura tu demonio, hay bastante info en inet, bueno son solo ideas...

Como te recomienda falcom es

Imagen de deathUser

Como te recomienda falcom es buena práctica el usar mecanismos de protección proactiva, además de revisar por rootkits y malware tu servidor, ya que no sabes que pudo haberte instalado el intruso, deberías evitar el uso de protocolos inseguros como telnet para las comunicaciones, otra cosa que podrías hacer es bloquear el acceso por contraseña y habilitar el uso de certificados, podrías también implementar port knocking para proteger los puertos de los servicios y por último, activar una VPN y que solo desde la VPN se puedan conectar tus usuarios ...

Suerte ...

bye
;)

rkhunter, averigua qué más

Imagen de Epe

rkhunter, averigua qué más hicieron...
Para el futuro:
instala denyhosts
En sshd_config pon PermitRootLogin no
con esto puedes tener bastante seguridad.
Claro, lo mejor sería una vpn.. ahi avanzas más aún

Pero primero, valida qué cambios hicieron en tu servidor, seguro alteraron binarios y eso es muy malo

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre