Cómo saber el sistema operativo de servidor Linux por SSH

 Cómo saber el sistema operativo de servidor Linux por SSH

Para saber el sistema operativo por SSH en un servidor Linux ejecutamos este comando:

cat /etc/issue

En caso de un servidor Linux RedHat Enterprise, como una distro Centos:

cat /etc/redhat-release

Para saber la arquitectura del servidor:

uname -m

Cómo cambiar el puerto de SSH en Centos

Cómo cambiar el puerto de SSH en CentOS

Para evitar los miles de ataques que se pueden generar al puerto, por defecto, 22 para el acceso SSH, la mejor solución es cambiar el número del puerto. 

Ver una lista con información sobre los últimos 10 intentos de acceso fallidos.

 last -ain 10

Ver una lista con información sobre los últimos 10 accesos correctos.

lastb -ain 10

Ver una lista con los puertos que se están utilizando

netstat -v --numeric-ports

SOLUCIÓN: editar el archivo de configuración de SSH: vi /etc/ssh/sshd_config 

usuario@server ~]# vi /etc/ssh/sshd_config

# If you want to change the port on a SELinux system, you have to tell

# SELinux about this change. En castellano: Si quieres cambiar el puerto en un sistema SELinux, tienes que decirle a #SELinux este cambio.

# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER

#

Port 22 (cambiar ej: Port 2200) los puerto 25, 21, 80, etc. son utilizados por otros servicios por eso hay que usar números que no entren en conflicto con éstos.                            

#AddressFamily any

#ListenAddress 0.0.0.0

#ListenAddress ::

/*Indicamos a #SElinux el cambio, es necesario reiniciar el sistema*/

[usuario@server ~]# semanage port -a -t ssh_port_t -p tcp 2200                               

/*Ahora reiniciamos el servicio*/

[usuario@server ~]# systemctl restart sshd                                                    

                                                                                              

/* Ver información de la configuración SSH

systemctl status sshd

Por último hay que crear una nueva regla en el firewall para permitir el acceso al nuevo puerto.

firewall-cmd --zone=public--add-port=NUEVOPUERTO/tcp --permanent

comandos básicos de vi

Resumen de los comandos básicos de vi

En la tabla siguiente puede consultar de forma cómoda los comandos básicos de vi:
Tabla 6-1 Comandos básicos de vi

Comando	Significado
Empezar vi
vi nombre_de_archivo	Abrir o crear el archivo
vi	Abrir un archivo nuevo para nombrarlo más tarde
vi -r nombre_de_archivo	Recuperar un archivo de una caída del sistema
view nombre_de_archivo	Abrir archivo sólo para leer
Comandos del cursor
h	Moverse un carácter hacia la izquierda
j	Moverse una línea hacia abajo
k	Moverse una línea hacia arriba
l	Moverse un carácter a la derecha
w	Moverse una palabra a la derecha
W	Moverse una palabra a la derecha (pasados los signos de puntuación)
b	Moverse una palabra a la izquierda
B	Moverse una palabra a la izquierda (pasados los signos de puntuación)
e	Moverse al final de la palabra actual
Return	Moverse una línea hacia abajo
Back Space	Moverse un carácter a la izquierda
Space Bar	Moverse un carácter a la derecha
H	Moverse a la parte de arriba de la pantalla
M	Moverse al centro de la pantalla
L	Moverse a la parte inferior de la pantalla
Ctrl-F	Paginar una pantalla hacia adelante
Ctrl-D	Desplazarse media pantalla hacia adelante
Ctrl-B	Paginar una pantalla hacia atrás
Ctrl-U	Desplazarse media pantalla hacia atrás
Insertar caracteres y líneas
a	Insertar caracteres a la derecha del cursor
A	Insertar caracteres al final de la línea
i	Insertar caracteres a la izquierda del cursor
I	Insertar caracteres al principio de línea
o	Insertar una línea por debajo el cursor
O	Insertar una línea por encima del cursor
Cambiar texto
cw	Cambiar una palabra (o parte de una palabra) a la derecha del cursor
c	Cambiar una línea
C	Cambiar desde el cursor hasta el final de la línea
s	Sustituir cadena por carácter(es) desde el cursor hacia adelante
r	Reemplazar el carácter marcado por cursor por otro carácter
r Return	Partir una línea
J	Unir la línea actual con la línea inferior
xp	Transponer el carácter del cursor con el carácter a la derecha
~	Cambiar el tipo de letra (mayúscula o minúscula)
u	Deshacer el comando anterior
U	Deshacer todos los cambios en la línea actual
:u	Deshacer el comando anterior sobre la línea última
Eliminar texto
x	Eliminar el carácter del cursor
X	Eliminar el carácter a la izquierda del cursor
dw	Eliminar la palabra (o la parte de la palabra a la derecha del cursor)
dd	Eliminar la línea que contiene al cursor
D	Eliminar la parte de la línea a la derecha del cursor
dG	Eliminar hasta el final de línea
d1G	Eliminar desde el principio del archivo hasta el cursor
:5,10 d	Eliminar las líneas de la 5 a la 10
Copiar y mover texto
yy	Tirar o copiar línea
Y	Tirar o copiar línea
p	Poner la línea tirada o eliminada por debajo de la línea actual
P	Poner la línea tirada o eliminada por encima de la línea actual
:1,2 co 3	Copiar las líneas de la 1 a la 2 y ponerlas después de la línea 3
:4,5 m 6	Mover las líneas de la 4 a la 5 y ponerlas después de la línea 6
Ajustar la numeración de las líneas
:set nu	Mostrar los números de las líneas
:set nonu	Esconder los números de las líneas
	Establecer la distinción entre mayúsculas y minúsculas
:set ic	En la búsqueda se ignora la distinción entre mayúsculas y minúsculas
:set noic	En la búsqueda se distingue entre mayúsculas y minúsculas
Encontrar una línea
G	Ir a la última línea del archivo
1G	Ir a la primera línea del archivo
21G	Ir a la línea 21
Buscar y reemplazar
/string	Búsqueda de cadena de caracteres
?string	Búsqueda hacia atrás de cadena de caracteres
n	Encontrar la siguiente aparición de string en la dirección de búsqueda
N	Encontrar la aparición previa de la cadena de caracteres en la dirección de búsqueda
:g/search/s//replace/g	Buscar y reemplazar
Limpiar la pantalla
Ctrl-L	Limpiar (actualizar) la pantalla
	Insertar un archivo en otro archivo
:r nombre_de_archivo	Insertar (leer) el archivo a continuación del cursor
:34 r nombre_de_archivo	Insertar el archivo después de la línea 34
Guardar y salir
:w	Guardar los cambios (escribir el contenido de la memoria intermedia)
:w nombre_de_archivo	Escribir el contenido de la memoria intermedia a un archivo con nombre
:wq	Guardar los cambios y salir de vi
ZZ	Guardar los cambios y salir de vi
:q!	Salir sin guardar los cambios

Ataque de fuerza bruta por SSH a servidor Linux

Recibiendo Ataque de fuerza bruta por SSH a servidor Linux Centos7 (SOLUCIONADO)

Hace un par de días al acceder a mi servidor por SSH, veo un aviso que me dice: "There were 68992 failed login attempts since the last successful login." (Hubo 68992 intentos de inicio de sesión fallidos desde el último inicio de sesión exitoso.)

Cada segundo más o menos estaba recibiendo un intento de login por SSH con el usuario "root" y con otros nombre de usuario como "admin", "user2", etc.

Como ejemplo muestro la respuesta del comando "lastb" que muestra los intentos de acceso fallidos:

[root@server ~]#  lastb -ain 10

pi       ssh:notty    Thu Mar  8 08:45 - 08:45  (00:00)     67.212.124.43

pi       ssh:notty    Thu Mar  8 08:45 - 08:45  (00:00)     67.212.124.43

pi       ssh:notty    Thu Mar  8 08:45 - 08:45  (00:00)     67.212.124.43

pi       ssh:notty    Thu Mar  8 08:45 - 08:45  (00:00)     67.212.124.43

electrum ssh:notty    Thu Mar  8 08:42 - 08:42  (00:00)     80.147.210.170

electrum ssh:notty    Thu Mar  8 08:42 - 08:42  (00:00)     80.147.210.170

user2    ssh:notty    Thu Mar  8 08:41 - 08:41  (00:00)     109.245.221.126

user2    ssh:notty    Thu Mar  8 08:41 - 08:41  (00:00)     109.245.221.126

root     ssh:notty    Thu Mar  8 08:32 - 08:32  (00:00)     59.63.166.104

root     ssh:notty    Thu Mar  8 08:32 - 08:32  (00:00)     59.63.166.104

Con el comando "last" muestra los acceso correctos, ejemplo:

[root@server ~]#  last -ain 5

root     pts/0        Thu Mar  8 15:38   still logged in   mi-ip.xxx.xxx.xx

root     pts/0        Thu Mar  8 09:19 - 15:38  (06:19) mi-ip.xxx.xxx.xx

root     pts/1        Thu Mar  8 06:58 - 08:59  (02:00)    mi-ip.xxx.xxx.xx

konclass ftpd8541     Thu Mar  8 06:21 - 06:22  (00:01)    mi-ip.xxx.xxx.xx

konclass ftpd8539     Thu Mar  8 06:21 - 06:31  (00:10)     mi-ip.xxx.xxx.xx

Para ver más información sobre los intentos de acceso me voy a ver los log:   cd /var/log/

Al hacer un "ls" # ls -lh ya veo que los archivos de registro pesan demasiado:

17M mar  8 15:38 secure

31M mar  4 03:49 secure-20180304

Aquí muestro como ejemplo una parte del log "secure":

Mar  8 05:51:41 server sshd[6288]: Invalid user list from 188.166.213.215 port 46034
Mar  8 05:51:41 server sshd[6288]: input_userauth_request: invalid user list [preauth]
Mar  8 05:51:41 server sshd[6288]: pam_unix(sshd:auth): check pass; user unknown
Mar  8 05:51:41 server sshd[6288]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188.166.213.215
Mar  8 05:51:43 server sshd[6288]: Failed password for invalid user list from 188.166.213.215 port 46034 ssh2
Mar  8 05:51:44 server sshd[6288]: Received disconnect from 188.166.213.215 port 46034:11: Normal Shutdown, Thank you for playing [preauth]
Mar  8 05:51:44 server sshd[6288]: Disconnected from 188.166.213.215 port 46034 [preauth]

Como solución, primero lo intente con FAIL2BAN, pero no me resulto nada bien, me bloqueaba el acceso a todos los sitios web alojados en el servidor, bloqueando los puertos 80 y 443 y tuve un lio del copón para volver a dejar todo funcionando de nuevo, en fin, un lío muy grande y seguía todo igual.

LA SOLUCIÓN! 

Instalar PLESK FIREWALL y crear una regla que bloquea el acceso SSH (puerto 22) con una excepción! mi IP. Sencillo y efectivo!