Implementação de segurança em conexões remotas (SSH)
Publicado por Valmar Neves em 13/09/2006
[ Hits: 9.834 ]
Implementação de segurança em conexões remotas (SSH)
Crie um usuário no sistema o qual o mesmo será utilizado para efetuar conexões remotas.
# adduser remoto --no-create-home
Edite o arquivo /etc/ssh/sshd_config. Mude a porta 22 para outra, sendo que a mesma como padrão aumenta a vulnerabilidade.
Adicione a linha "AllowUsers remoto", sendo que remoto é um usuário de conta de sistema que terá permissão para conectar remotamente pelo serviço SSH.
Mude o parâmetro "PermitRootLogin" de "yes" para "no", não permitindo assim que o usuário root conecte remotamente ao sistema.
Crie um grupo "suporte" para que seja o grupo o qual terá permissão para logar como root.
# addgroup suporte
Edite o arquivo /etc/groups com o comando "vigr" e adicione em frente a linha "suporte:x:xxx:usuário1,usuário2" os nomes dos usuários que pertencerão ao mesmo, ou seja, os usuários que poderão mudar para root.
Edite o arquivo /etc/pam.d/su. Descomente a linha:
auth required pam_wheel.so
e adicione em frente a mesma a opção "group=suporte", ficando assim:
Sendo que o grupo suporte é o grupo criado anteriormente onde estarão os usuários que terão permissão para logar-se como root no sistema.
Bem, agora somente o usuário "remoto" poderá logar remotamente via SSH no seu sistema. O mesmo não conseguirá mudar para root sem antes logar-se para algum dos usuários adicionados no grupo suporte.
Para testar, tente efetuar uma conexão via SSH com qualquer usuário que não seja o "remoto":
ssh usuario@localhost:porta_nova
Não será possível autenticar-se.
Depois teste com o usuário remoto:
ssh remoto@localhost:nova_porta
Conexão efetuada! Tente mudar para root sem estar como um dos usuários adicionados no grupo "suporte", será retornado uma mensagem de acesso negado.
Esta implementação é bem útil para pessoas que necessitam periodicamente fazer conexões em seus servidores e não querem deixar o mesmo vulnerável à invasões.
Obrigado a todos.
Rodando arquivos RMVB no TOTEM
Limitando tamanho de downloads com o Squid
Darktable traduzido para pt_BR
Notas do Gnome 3 e o que vem no 3.2
Script para servidor espelho entrar no ar e notificar o administrador
Instalando kernel 2.6.39 no Ubuntu 11.04
otima dica, simples e eficaz principalmente essa do arquivo /etc/palm.d/su, pode servir tanta pra SSH quanto para restringi o uso do root numa maquina com varios usuarios como a minha de casa
Patrocínio
Destaques
Artigos
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
E a guerra contra bots continua
Tradução do artigo do filósofo Gottfried Wilhelm Leibniz sobre o sistema binário
Conheça o firewall OpenGFW, uma implementação do (Great Firewall of China).
Dicas
Instalando o FreeOffice no LMDE 6
Anki: Remover Tags de Estilo HTML de Todas as Cartas
Colocando uma opção de redimensionamento de imagem no menu de contexto do KDE
Tópicos
Gentoo bane contribuições de código feitas com IA (1)
Top 10 do mês
-
Xerxes
1° lugar - 68.930 pts -
Fábio Berbert de Paula
2° lugar - 56.912 pts -
Clodoaldo Santos
3° lugar - 42.473 pts -
Buckminster
4° lugar - 22.519 pts -
Sidnei Serra
5° lugar - 21.906 pts -
Alberto Federman Neto.
6° lugar - 17.044 pts -
Daniel Lara Souza
7° lugar - 17.011 pts -
Mauricio Ferrari
8° lugar - 16.922 pts -
Diego Mendes Rodrigues
9° lugar - 15.683 pts -
edps
10° lugar - 13.949 pts
Scripts
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
