Segurança no SSH via plugins da PAM

y2h4ck

Neste artigo veremos como proteger nossos servidores Unix utilizando console de administração via SSH contra ataques de brute-force usando o plugin pam_abl para PAM (Pluggable Authentication Module).

[ Hits: 46.833 ]

Por: Anderson L Tamborim em 14/06/2007 | Blog: http://y2h4ck.wordpress.com

0 0

Denuncie Favoritos Indicar Impressora

Projeto sob-fogo: testando a segurança

Agora que já realizamos todos os procedimentos necessários para configuração de nossa solução de segurança para o sistema SSH, iremos realizar um teste, para realmente validar se ela está de acordo com as reais necessidades de nosso ambiente.

Para realizar os testes basta fazermos com que o usuário root por exemplo tente logar-se no SSH por N vezes seguidas, sendo N um número maior ou igual ao configurado na policy rule do arquivo /etc/security/pam_abl.conf.

Como na configuração sugerida colocamos 3 tentativas com erro na autenticação em um período de 1 Hora, basta que realizemos 4 tentativas seguidas de acesso sem sucesso ao servidor.

Para fazer isto, é simples, basta colocarmos 4 vezes a senha erroneamente.

Vejamos os logs abaixo:

# tail -f /var/log/messages
Jun 12 17:42:06 mephisto sshd[4456]: error: PAM: Authentication failure for root from 192.168.100.2
Jun 12 17:42:07 mephisto sshd[4456]: error: PAM: Authentication failure for root from 192.168.100.2
Jun 12 17:42:08 mephisto sshd[4456]: error: PAM: Authentication failure for root from 192.168.100.2

<-- agora o quarto e fatal erro :-) -->

Jun 12 17:42:19 mephisto sshd[4465]: error: PAM: Authentication failure for root from 192.168.100.2
Jun 12 17:42:20 mephisto pam_abl[4475]:Blocking access from 192.168.100.2 to service ssh, user root

Agora, mesmo que o host 192.168.100.2 tente logar-se utilizando a senha correta, o acesso não será mais garantido a menos que o purge-time seja atingido (1 dia) ou que o administrador limpe o hosts.db que o pam_abl criou.

O sistema funciona muito bem e com certeza irá ajuda-lo muito a proteger seu acesso remoto de bisbilhoteiros.

Página anterior Próxima página

Páginas do artigo

   1. Prólogo
   2. Introdução - Segurança no acesso remoto
   3. pam_abl: principais características
   4. Projeto sob-fogo: testando a segurança
   5. Melhores práticas: uso de serviço SSH
   6. Conclusão

Outros artigos deste autor

PHLAK :: [P]rofessional [H]acker's [L]inux [A]ssault [K]it

Jails em SSH: Montando sistema de Shell Seguro

SECtool - Análise Local para Linux

Análise passiva (parte 2)

Seguraça extrema com LIDS

Leitura recomendada

Segurança Física (Parte 1)

(IN)segurança Digital

Melhorias generalizadas de segurança (parte 2)

Entrevista com um hacker, via Internet

Introdução ao Personal Firewall (PF)

Comentários

[1] Comentário enviado por powerd0wn em 14/06/2007 - 13:36h

Ae, mano... show de bola seu artigo hein?! =)
Achei interessante seus agradecimentos! ahaahauahu

Valeu!

[]'s

Rodrigo Martins

0 0

[2] Comentário enviado por peregrino em 14/06/2007 - 14:20h

tinha que ser um tutorial do y2h4ck mesmo rss

e aee tava sumido en

at+

0 0

[3] Comentário enviado por removido em 14/06/2007 - 14:52h

Belo artigo, apesar de alguns módulos do PAM apresentarem vulnerabilidades.

0 0

[4] Comentário enviado por y2h4ck em 14/06/2007 - 15:01h

Bom, oque vc disse ai é o mesmo que dizer assim :

"Legal seu artigo sobre Network, pena que o TCP/IP apresenta vulnerabilidades."
Bom, pesquisando no SecurityFocus, não encontrei nenhuma para pam_abl :)

Abraços amigo.

0 0

[5] Comentário enviado por everton_ht em 14/06/2007 - 15:07h

ótimo artigo!! congratz
logo me será útil :D

0 0

[6] Comentário enviado por removido em 14/06/2007 - 15:44h

Também não encontrei, mas é uma pena para o pacote do PAM ter uns módulos com vulnerabilidades. Sempre é bom dar uma pesquisada nesses módulos do PAM para ver se tem alguma vulnerabilidade. Que bom que o módulo pam_abl não tem.

Abraços, Leonardo.

0 0

[7] Comentário enviado por fernoliv em 15/06/2007 - 00:21h

Anderson, meus parabéns!

Seus artigos são muito bem escritos e oferecem uma grande ajuda aos seus leitores.

Com estas dicas podemos melhorar muito o nível de segurança dos nossos servidores Linux.

Abraços,

Fernando.

0 0

[8] Comentário enviado por Journeyman em 15/06/2007 - 10:48h

Realmente muito bom o artigo.

Eu pessoalmente estava sofrendo ataques por força bruta na porta 22, isso aocntecia principalmente quando eu estava baixando torrents de coisas pra linux. Quando eu estava baixando a última versão do debian, por exemplo, o arquivo de logs "enlouqueceu" de tantas tentativas de acesso na base da tentativa e erro!

Nunca mais tive esse problema depois que troquei a porta de acesso (na realidade fiz um redirect de porta no roteador pra n ter que alterar os arquivos de configuração, o que auxilia no caso de reinstalações) e limitei o número máximo de tentativas pra 3.

Abraços.

0 0

[9] Comentário enviado por rndasi em 03/11/2007 - 11:17h

Bom dia a todos.

Parabéns pelo artigo.

Segui o artigo a risca no Debian 4.0 Etch R0 e no R1 e em nenhum dos 2 ele bloqueava o host.
Pesquisando na net, achei o seguinte patch : http://www.jikos.cz/~jbohac/goodies/pam_abl.patch

Fiz as alterações necessárias para que ele instalasse no diretório correto, apliquei o Patch e fiz a instalação seguindo todos os passos daqui.

Depois disso começou a funcionar.

Espero que ajude quem enfrenta o mesmo problema que eu.

Abraço

0 0