Permanentes ataques via ssh

Revisando los logs de varios servidores, pude apreciar que hace tiempo estan recibiendo ataques al puerto 22 (sshd), lo cual me parecio normal, dado que siempre los he tenido, pero ahora se torna mas molesto, puesto que los ataques son desde varias IP y constantes.

en el archivos /var/log/messages se puede ver:

Sep 30 05:12:00 server sshd[8147]: Invalid user webadmin from 220.125.251.21
Sep 30 05:12:05 server sshd[8152]: User ftp not allowed because not listed in AllowUsers
Sep 30 05:12:11 server sshd[8157]: Invalid user test from 220.125.251.21
Sep 30 05:12:17 server sshd[8162]: User root not allowed because not listed in AllowUsers

para solucionar esto, decidi elegir "denyhosts" que agrega la lista de IP's tratando de conectarse al puerto 22 con usuarios invalidos o con varios intentos fallidos de intrusion usando claves al azar.

un problema fue, que el server a instalarle denyhosts, era accedido via ssh, por lo cual no podia darme el privilegio de fallar.

despues de lanzar el demonio denyhosts, pude ver que agrego mi direccion de IP al archivos /etc/hosts.deny, lo cual no me gusto para nada, y me puse a ver como evitar esto, finalemente lo he conseguido.

Habia que crear un archivo /var/lib/denyhosts/allowed-host con una direccion de IP por linea.

DenyHosts esta escrito en Python

Powered by Gentoo