¿Por qué ocurre el reenvío de SSH incluso con el reenvío de puertos deshabilitado?

3

Estoy usando un Aiport Extreme como mi enrutador inalámbrico, y tiene el reenvío de puertos configurado pero deshabilitado para SSH:

Sin embargo, sigo viendo instancias de intentos de inicio de sesión ssh desde afuera: alguien está tratando de acceder a mi computadora usando una serie de nombres de usuarios. Además, todavía puedo iniciar sesión desde fuera de mi red doméstica utilizando SSH, así que sé que está abierto al mundo.

¿Cómo está sucediendo esto? ¿Cómo lo detengo?

Editar

Aquí está el registro para un intento de conexión:

==> /var/log/system.log <==
Apr 10 10:36:41: --- last message repeated 8 times ---
Apr 10 10:36:41 null-3 sandboxd[56246]: sshd(68515) deny mach-per-user-lookup

==> /var/log/secure.log <==
Apr 10 10:36:43 null-3 sshd[68516]: Invalid user presto from 124.124.91.195
    
pregunta Chris R 10.04.2011 - 17:57

3 respuestas

1

Estoy bastante seguro de que cuando selecciona el inicio de sesión remoto en el panel de preferencias de uso compartido, OS X abre el puerto en el enrutador mediante programación usando NAT-PMP. ¿Has intentado deshabilitar eso en el aeropuerto y reiniciar?

También asegúrese de no estar editando un perfil que no está activo en el aeropuerto. He caído en esa trampa una o dos veces de vez en cuando.

    
respondido por el bmike 10.06.2011 - 00:30
0

Desactivaría su acceso remoto hasta que sepa que su red doméstica no es pública para que alguien no pueda acceder a ella además de usted.

    
respondido por el luca590 10.04.2011 - 19:20
0

No estoy familiarizado con el administrador de Airport Extreme pero parece que tiene el inicio de sesión remoto de SSH desactivado en el primer cuadro de diálogo, y luego, en el segundo cuadro de diálogo, agregue manualmente el puerto externo 22 al puerto interno 191.168.1.10. Lo que estás viendo es a alguien (normalmente un niño de script) que intenta un ataque de diccionario contra tu sistema.

Si debe tener acceso ssh, sugeriría ejecutarlo en un puerto externo no estándar, que asigna a la dirección interna y al puerto 22. En las cajas de Linux para evitar este tipo de actividad, normalmente instalo DenyHosts que parece tener un puerto Mac disponible. Esto supervisa los registros del demonio ssh y agrega la ip de cualquier sistema que haya tenido un número configurable de intentos fallidos de inicio de sesión dentro de una ventana de tiempo a /etc/hosts.deny

    
respondido por el Kevin 10.04.2011 - 22:01

Lea otras preguntas en las etiquetas