Acesso remoto/SSH (CONF. SERVIDORES)

       Você pode configurar várias opções relacionadas ao servidor SSH, incluindo a porta TCP a ser usada editando o arquivo "/etc/ssh/sshd_config". A maior parte das opções dentro do arquivo podem ser omitidas, pois o servidor simplesmente utiliza valores defaults para as opções que não constarem no arquivo.
- Porta: Uma das primeiras linhas é a:
Port 22
Esta é a porta que será usada pelo servidor SSH. O padrão é usar a porta 22. Ao mudar a porta do servidor aqui, você deverá usar a opção "-p" ao conectar a partir dos clientes, para indicar a porta usada, como em:
# ssh -p 2222 adm@192.168.0.4
Outra opção é editar o arquivo "/etc/ssh/ssh_config" (nos clientes) e alterar a porta padrão usada também por eles. Mudar a porta padrão do SSH é uma boa idéia se você está preocupado com a segurança. Muitos dos ataques "casuais", quando não existe um alvo definido, começam com um portscan genérico, onde é feita uma varredura em faixas inteiras de endereços IP, porém apenas em algumas portas conhecidas, como a 21, 22 e 80 (a fim de tornar o teste mais rápido, embora menos preciso).
A partir daí, os ataques vão sendo refinados e direcionados apenas para os servidores vulneráveis encontrados na primeira varredura. Colocar seu servidor para escutar uma porta mais escondida, algo improvável como a porta 32456 ou 54232, já dificulta um pouco as coisas.
- Controle de acesso: Logo abaixo vem a opção "ListenAddress", que permite limitar o SSH a uma única placa de rede (mesmo sem usar firewall), útil em casos de micros com duas ou mais placas. O típico caso onde você quer que o SSH fique acessível apenas na rede local, mas não na internet, por exemplo. Digamos que o servidor use o endereço "192.168.0.2" na rede local e você queira que o servidor SSH não fique disponível na internet. Você adicionaria a linha:
ListenAddress 192.168.0.2
Note que especificamos nesta opção o próprio IP do servidor na interface escolhida, não a faixa de IP's da rede local ou os endereços que terão acesso a ele.
- Protocolo: Atualmente utilizamos o SSH 2, mas ainda existem alguns poucos clientes que utilizam a primeira versão do protocolo. Por padrão, o servidor SSH aceita conexões de clientes que utilizam qualquer um dos dois protocolos, o que é indicado na linha:
Protocol 2,1
O protocolo SSH 1 tem alguns problemas fundamentais de segurança, por isso alguns administradores preferem desabilitar a compatibilidade com ele, aceitando apenas clientes que usam o SSH 2. Neste caso, a linha fica apenas "Protocol 2"
- Usuários e senhas: Outra opção interessante, logo abaixo é a:
PermitRootLogin yes
Esta opção determina se o servidor aceitará que usuários se loguem como root. Do ponto de vista da segurança, é melhor deixar esta opção como "no", pois assim o usuário precisará primeiro se logar usando um login normal e depois virar root usando o "su" ou "su -". Desta forma, será preciso saber duas senhas, ao invés de saber apenas a senha do root.
Por padrão, o SSH permite que qualquer usuário cadastrado no sistema se logue remotamente, mas você pode refinar isso através da opção "AllowUsers", que especifica uma lista de usuários que podem usar o SSH. Quem não estiver na lista, continua usando o sistema localmente, mas não consegue se logar via SSH. Isso evita que contas com senhas fracas, usadas por usuários que não têm necessidade de acessar o servidor remotamente coloquem a segurança do sistema em risco. Para permitir que apenas os usuários tux e  nara possam usar o SSH, adicione a linha:
AllowUsers tux nara
Você pode ainda inverter a lógica, usando a opção "DenyUsers". Nesse caso, todos os usuários cadastrados no sistema podem fazer login, com exceção dos especificados na linha, como em:
DenyUsers jose manoel
Outra opção relacionada à segurança é a:
PermitEmptyPasswords no
Esta opção faz com que qualquer conta sem senha fique automaticamente desativada no SSH, evitando que alguém consiga se conectar ao servidor "por acaso" ao descobrir a conta desprotegida. Lembre-se que a senha é justamente o ponto fraco do SSH. De nada adianta usar 2048 bits de encriptação se o usuário escreve a senha num post-it colado no monitor, ou deixa a senha em branco.
- Banner: Alguns servidores exibem mensagens de advertência antes do prompt de login, avisando que todas as tentativas de acesso estão sendo monitoradas ou coisas do gênero. A mensagem é especificada através da opção "Banner", onde você indica um arquivo de texto com o conteúdo a ser mostrado, como em:
Banner = /etc/ssh/banner.txt
- X11 Forwarding: Um pouco depois temos a opção:
X11Forwarding yes
Esta opção determina se o servidor permitirá que os clientes executem aplicativos gráficos remotamente. Se o servidor será acessado via internet ou se possui um link lento, você pode deixar esta opção como "no" para economizar banda. Desta forma, os clientes poderão executar apenas comandos e aplicativos de modo texto.

- Módulos: O SSH inclui um módulo de transferência de arquivos (o SFTP), que veremos em detalhes a seguir. Ele é ativado através da linha:
Subsystem sftp /usr/lib/sftp-server
É realmente necessário que esta linha esteja presente para que o SFTP funcione. Comente esta linha apenas se você realmente deseja desativá-lo. 

Para mais informações sobre Acesso remoto e como fazer a configuração com o Telnet, entre no link: acessoremoto


Boa Sorte!!

Fonte: Guia do hardware

Comentários

Postar um comentário

Postagens mais visitadas deste blog

O IPv6 - Alocação de endereços

Imagem
A  RFC 3531  propõe um método de ordenar a distribuição das alocações, permitindo a mudança de prefixos aproveitando os bits não alocados deste prefixo e sem a perda de agregação. No endereço abaixo é possível acessar um simulador do algoritmo apresentado pela RFC: http://ipv6.br/rfc3531demo Na figura 1, é mostrado o screenshot da tela inicial do simulador: Figura 1: Tela inicial A simulação pode ser realizada tanto para IPv4 quanto para IPv6, é importante considerar a grande diferença do número de bits disponíveis entre os dois protocolos. Digite os endereços IPv4 ou IPv6 desejados, escolha o número de subredes desejadas para a simulação. Clique no botão “Criar Tabela” para obter a configuração inicial do simulador. Figura 2: Preenchimento das telas Agora, basta escolher qual o algoritmo desejado dentre os três possíveis (rightmost, centermost,leftmost) e visualizar como a alocação é realizada. As células em vermelho indicam que foi realizada a alocação daquel
Leia mais

Característica do Protocolo FTP

O FTP permite a transferência de arquivos em ambas as direções (download e upload) de computadores locais (clientes FTP) para computadores remotos conhecidos como servidores FTP. Essa transferência pode ocorrer inclusive entre clientes e servidores FTP de diferentes sistemas operacionais. O protocolo FTP inclui também mecanismos para que os arquivos tenham propriedades e restrições de acesso. As restrições de acesso são estabelecidas pelo servidor FTP de acordo com o login do usuário, sendo que, geralmente, são estabelecidas contas públicas para facilitar o acesso de usuários não cadastrados. Algumas características deste protocolo são: Rapidez e versatilidade; Baseia-se no Protocolo TCP, sendo que o FTP possui uma interface para poder interagir com esse protocolo. Open Standard. Facilitando a organização entre diferentes componentes de hardwares e softwares e permitindo o aumento do número de usuários desta tecnologia; Desenvolvido, originalmente, orientado a linha de comando
Leia mais

A camada Aplicação - Modelo OSI

Agora iremos aprender a função de cada camada do Modelo OSI. É importante que tenham lido os assuntos anteriores ( As camadas  e  O modelo OSI ) para poder entender melhor como funciona. Mesmo que seja um modelo teórico, não é necessariamente seguir ao pé da risca pelos protocolos de rede. Entendê-los digamos que não seja tão difícil como lemos ou ouvimos falar. Tudo começa com um aplicativo que precisa acessar a rede. Digamos que você abriu o navegador, tipo o Chrome (rs), daí agora está acessando o http://admroot.blogspot.com.br/. Então, neste momento estamos na camada 7 ( Aplicação ), onde o programa solicita o arquivo para o sistema operacional, onde ele não precisa nem saber como funciona ou como vai chegar até ele. É tipo quando você fica super afim de algo que viu na promoção de uma loja virtual e compra o produto sem preocupar-se com a parte logística da empresa, a única coisa que você quer é que chegue logo e se possível via sedex. =D Algumas funções desta camada
Leia mais