Ciao Ragazzi,
ho messo in piedi un serverino per uso domestico che eroga un servizio di ftp.....
Per sfizio ho voluto controllare i file di log e ho riscontrato che ci sono diversi host che mi martellano l'ftp e l'ssh con continue login e password nel tentativo di bucarmi il sistema......
Del tipo che per 4/5 minuti e per ogni secondo ricevo tentativi di login da host sconosciuti.....

Ora vorrei sapere..... come posso evitare che continuino a martellarmi il server?
Ho pensato di discriminare gli ip sul router o iptables, ma ci passerei le giornate ad aggiornare le liste......
Ho un ip dinamico quindi nn posso neppure aprire 1 solo ip...... l'unica sarebbe cambiare il nome del DDNS.......
Ma se do in mano i miei log alla polizia postale posso far denuncia? come funziona la cosa?

Grazie

Ciao Ragazzi,
ho messo in piedi un serverino per uso domestico che eroga un servizio di ftp.....
Per sfizio ho voluto controllare i file di log e ho riscontrato che ci sono diversi host che mi martellano l'ftp e l'ssh con continue login e password nel tentativo di bucarmi il sistema......
Del tipo che per 4/5 minuti e per ogni secondo ricevo tentativi di login da host sconosciuti.....

Ora vorrei sapere..... come posso evitare che continuino a martellarmi il server?
Ho pensato di discriminare gli ip sul router o iptables, ma ci passerei le giornate ad aggiornare le liste......
Ho un ip dinamico quindi nn posso neppure aprire 1 solo ip...... l'unica sarebbe cambiare il nome del DDNS.......
Ma se do in mano i miei log alla polizia postale posso far denuncia? come funziona la cosa?

Grazie


cosa ci fai col tuo server ftp/ssh? magari puoi dare l'accesso solo ai client autorizzati e che abbiano la chiave cifrata (credo si possa fare anche con ftp.. con ssh sicuro).

si per il momento solo ftp e ssh, si adotta già le chiavi, ma la cosa che mi da fastidio è che comunque stressa il servizio con continui tentativi di login.....

cmq secondo me è del tutto normale. Su windows ad esempio col firewall di peerguardian, visualizzavi chi e da dove provava a contattare il tuo ip e ricordo che mezzo mondo cercava di accedere al mio ip. Credo che sia qualcosa del tutto "normale" oggi giorno su internet.

Ora vorrei sapere..... come posso evitare che continuino a martellarmi il server?


fail2ban :)

Potresti semplicemente cambiare le porte di default.
Naturalmente se non devi accederci da reti particolarmente limitate.

Io uso il già citato Fail2ban (http://www.fail2ban.org/wiki/index.php/Main_Page) e porte alte: nessuna attività maliziosa riscontrata in più di due anni di uptime quasi totale.
Giusto in questi giorni mi trovo limitato dalla rete dove lavoro e, un po' svogliatamente, stavo provando ad attivare un NAT su porte basse con accesso limitato ai soli IP della rete in cui mi trovo di giorno.

Altra possibilità che mi incuriosisce, ma non ho ancora avuto occasione di usare è il Port knocking (http://it.wikipedia.org/wiki/Port_knocking).

solo spostando le porte su numeri abbastanza alti risolvi il grosso.

Altrimenti potresti cogliere l'occasione per tirare su una VPN (nel caso ti sia utile) - anche questa su una porta diversa dalla standard.

il port knocking è carino. Ci sarebbe da dire (solo a scopo informativo) che tante persone però non lo considerano una soluzione, ma un potenziale rischio in più.

fail2ban me lo guardo.....

Grazie a tutti per i suggerimenti, dunque il discorso vpn ci avevo pensato, ma visto che questo ftp deve essere raggiungibile ovunque il discorso vpn sarebbe limitativo.....
Come ftp uso proftpd, ma ho un problema ho provato a configurare la porta d'ascolto con un altro numero, poi ovviamente sul router ho modificato la nat, ma non mi funziona..... o meglio se inserisco il nome host con il numero porta mi appare la richiesta di login inserisco l'utenza, ma mi restituisce un messaggio come se nn avessi i diritti di accesso alla cartella :muro: :mbe:

Ho letto di abilitare il MasqueradeAddress ma io ho un ip dinamico come faccio?

Rimettendo la porta di default sia su proftpd che sul router tutto torna a funzionare :mbe:

Chi sa darmi un aiuto? grazie