Implementação de segurança em conexões remotas (SSH)

Publicado por Valmar Neves em 13/09/2006

[ Hits: 10.183 ]

0 0

Denuncie Favoritos Indicar Impressora

Implementação de segurança em conexões remotas (SSH)

Umas das maiores preocupações dos administradores de redes é a implementação de segurança em seu servidores, impedindo assim que dados contidos nos mesmos caiam em mãos erradas, assim como controlar a quem será permitido acesso a estes dados.

Crie um usuário no sistema o qual o mesmo será utilizado para efetuar conexões remotas.

# adduser remoto --no-create-home

Edite o arquivo /etc/ssh/sshd_config. Mude a porta 22 para outra, sendo que a mesma como padrão aumenta a vulnerabilidade.

Adicione a linha "AllowUsers remoto", sendo que remoto é um usuário de conta de sistema que terá permissão para conectar remotamente pelo serviço SSH.

Mude o parâmetro "PermitRootLogin" de "yes" para "no", não permitindo assim que o usuário root conecte remotamente ao sistema.

Crie um grupo "suporte" para que seja o grupo o qual terá permissão para logar como root.

# addgroup suporte

Edite o arquivo /etc/groups com o comando "vigr" e adicione em frente a linha "suporte:x:xxx:usuário1,usuário2" os nomes dos usuários que pertencerão ao mesmo, ou seja, os usuários que poderão mudar para root.

Edite o arquivo /etc/pam.d/su. Descomente a linha:

auth required pam_wheel.so

e adicione em frente a mesma a opção "group=suporte", ficando assim:

auth required pam_wheel.so group=suporte

Sendo que o grupo suporte é o grupo criado anteriormente onde estarão os usuários que terão permissão para logar-se como root no sistema.

Bem, agora somente o usuário "remoto" poderá logar remotamente via SSH no seu sistema. O mesmo não conseguirá mudar para root sem antes logar-se para algum dos usuários adicionados no grupo suporte.

Para testar, tente efetuar uma conexão via SSH com qualquer usuário que não seja o "remoto":

ssh usuario@localhost:porta_nova

Não será possível autenticar-se.

Depois teste com o usuário remoto:

ssh remoto@localhost:nova_porta

Conexão efetuada! Tente mudar para root sem estar como um dos usuários adicionados no grupo "suporte", será retornado uma mensagem de acesso negado.

Esta implementação é bem útil para pessoas que necessitam periodicamente fazer conexões em seus servidores e não querem deixar o mesmo vulnerável à invasões.

Obrigado a todos.

Outras dicas deste autor

Limitando tamanho de downloads com o Squid

Rodando arquivos RMVB no TOTEM

Leitura recomendada

Fórum Lazarus

Transmission - Gerenciar torrent via web em servidor

Administrando o CUPS por linha de comando (parte 1)

Interceptando tráfego SSL/HTTPS com Ettercap e SSLstrip

IPwatchD - Detectar conflitos de IP em GNU/Linux

Comentários

[1] Comentário enviado por flaviodbz em 19/10/2008 - 03:39h

otima dica, simples e eficaz principalmente essa do arquivo /etc/palm.d/su, pode servir tanta pra SSH quanto para restringi o uso do root numa maquina com varios usuarios como a minha de casa

0 0