Implementação de segurança em conexões remotas (SSH)

Publicado por Valmar Neves em 13/09/2006

[ Hits: 10.136 ]

0 0

Denuncie Favoritos Indicar Impressora

Implementação de segurança em conexões remotas (SSH)

Umas das maiores preocupações dos administradores de redes é a implementação de segurança em seu servidores, impedindo assim que dados contidos nos mesmos caiam em mãos erradas, assim como controlar a quem será permitido acesso a estes dados.

Crie um usuário no sistema o qual o mesmo será utilizado para efetuar conexões remotas.

# adduser remoto --no-create-home

Edite o arquivo /etc/ssh/sshd_config. Mude a porta 22 para outra, sendo que a mesma como padrão aumenta a vulnerabilidade.

Adicione a linha "AllowUsers remoto", sendo que remoto é um usuário de conta de sistema que terá permissão para conectar remotamente pelo serviço SSH.

Mude o parâmetro "PermitRootLogin" de "yes" para "no", não permitindo assim que o usuário root conecte remotamente ao sistema.

Crie um grupo "suporte" para que seja o grupo o qual terá permissão para logar como root.

# addgroup suporte

Edite o arquivo /etc/groups com o comando "vigr" e adicione em frente a linha "suporte:x:xxx:usuário1,usuário2" os nomes dos usuários que pertencerão ao mesmo, ou seja, os usuários que poderão mudar para root.

Edite o arquivo /etc/pam.d/su. Descomente a linha:

auth required pam_wheel.so

e adicione em frente a mesma a opção "group=suporte", ficando assim:

auth required pam_wheel.so group=suporte

Sendo que o grupo suporte é o grupo criado anteriormente onde estarão os usuários que terão permissão para logar-se como root no sistema.

Bem, agora somente o usuário "remoto" poderá logar remotamente via SSH no seu sistema. O mesmo não conseguirá mudar para root sem antes logar-se para algum dos usuários adicionados no grupo suporte.

Para testar, tente efetuar uma conexão via SSH com qualquer usuário que não seja o "remoto":

ssh usuario@localhost:porta_nova

Não será possível autenticar-se.

Depois teste com o usuário remoto:

ssh remoto@localhost:nova_porta

Conexão efetuada! Tente mudar para root sem estar como um dos usuários adicionados no grupo "suporte", será retornado uma mensagem de acesso negado.

Esta implementação é bem útil para pessoas que necessitam periodicamente fazer conexões em seus servidores e não querem deixar o mesmo vulnerável à invasões.

Obrigado a todos.

Outras dicas deste autor

Limitando tamanho de downloads com o Squid

Rodando arquivos RMVB no TOTEM

Leitura recomendada

Instalação do Teclado Virtual (JAVA) no Ubuntu

Como instalar todas as distros Linux que você quiser (UEFI ou Legacy)

Replicar banco de login do Myauth 3

Configurando o Recoll

Squid com autenticação

Comentários

[1] Comentário enviado por flaviodbz em 19/10/2008 - 03:39h

otima dica, simples e eficaz principalmente essa do arquivo /etc/palm.d/su, pode servir tanta pra SSH quanto para restringi o uso do root numa maquina com varios usuarios como a minha de casa

0 0