danchiacchio
(usa Debian)
Enviado em 02/11/2010 - 00:39h
Boa Noite Amigo,
Você pode utilizar o protocolo SSH para isso. Ele é rapido e seguro.
Abaixo, estou dando um exemplo de como instar e configurar em Distribuiçoes baseadas no Debian. Mas, você pode utilizar o conceito e pesquisar sobrfe como fazer nas distribuições que goste:
Servidor SSH (Security Shell Hosting)
Instalação:
O SSH é dividido em 02 Modulos, 01 Modulo chamado “sshd” que é o modulo Servidor que é um
serviço que fica residente na maquina que será acessada, enquanto que o “ssh” é o modulo cliente,
um utilitário que você utiliza para acessar o servidor ssh.
1)Instalar o pacote “openssh-server”:
# apt-get update
# apt-get install openssh-server (No Debian e derivados)
# yum update
# yum install openssh-server (No Fedora e derivados)
2)Após instalar o pacote do SSH, ativar o serviço do mesmo. (Por padrão na maioria das
distribuições ele é configurado para subir no boot automaticamente, mas não custa verificar):
# /etc/init.d/ssh start (No Debian e derivados)
# service sshd start (No Red Hat, Mandriva, Fedora e CentOS)
Obs: No CentOS, caso você instalar o pacote do servidor SSH depois da instalação do sistema, é
preciso configurar o serviço do ssh para inicializar junto com o sistema, atraves do comando:
# chkconfig sshd on (onde “sshd” é o nome do serviço do Servidor SSH no CentOS)
3)Por padrão, o protocolo SSH escuta na porta 22, onde passa a ser necessário libera-la no firewall,
case utilize um. O Pacote do Servidor SSH chama-se “openssh-server”, e o pacote do Cliente SSH
chama-se “openssh-client”, onde é possivel realização a instalação somente de um deles mediante
as necessidades.
Configuração do Cliente SSH:
As configurações do cliente SSH vão no arquivo /etc/ssh/ssh_config.
Exemplo do arquivo de configuração do cliente SSH (/etc/ssh/ssh_config):
ForwardX11 no
( Opção para “rodar” aplicativos gráficos remotamente via SSH. Para funcionar, essa opção deve
estar habilitada no cliente – ForwardX11 yes – e tambem no Servidor SSH. Vale ressaltar que o uso
do Modo Gráfico no SSH é recomendado somente em uma rede local, e não na Internet, pois o
Protocolo do X é otimizado somente para uso local, sendo que para uso na Internet o mesmo ira
consumir muita banda e apresentara muita lentidão mesmo em conexões rápidas);
Compression = yes ( Essa Opção quando ativada, permite ativar a compressão dos dados atraves
do do programa gzip. Com o seu uso, há um ganho de performance em servidores que estão
acessiveis via Internet);
Port 22 ( Essa Opção indica em qual porta o cliente SSH deve se conectar no servidor SSH.
Lembrando que para funcionar, essa mesma porta deve estar configurada para o protocolo “escutar”
no servidor SSH);
ServerAliveInterval 120 ( Essa Opção permite que a conexão do cliente SSH e o servidor não
seja encerada depois de alguns minutos de inatividade. Você pode especificar um tempo em
segundos, para que o cliente ssh envie pacotes periodicamente para o servidor ssh com o objetivo de
manter a conexão ativa);
Observação: Como parte da segurança do SSH, ele utiliza um sistema de chaves assimetricas para
verificar a identidade do servidor. O Servidor possui uma chave publica, que é enviada ao cliente na
primeira conexão. As identificações de todos os Servidores conhecidos ficam armazenadas no
arquivo “.ssh/know_hosts”, dentro do diretorio home do Usuário.
Caso ocorra algum problema ao se conectar ao servidor SSH (devido a suspeita da chave remota –
chave do servidor – ter sido alterada, na tentativa de um ataque), basta remover a identificação do
servidor no arquivo “.ssh/know_host”, atraves do comando:
# ssh-keygen -R <Endereço IP do Servidor SSH>
# ssh-keygen -R 192.168.1.10
Com isso, a identificação e removida e substituida por uma identificação de Backup, que é feita
antes do primeiro acesso por segurança. Isso pode ser feita excluindo o conteudo do arquivo
manualmente tambem.
As opções omitidas recebem valores padrões, onde somente é aconselhavel inserir no arquivo as
opções que conhece, com seus respectivos valores.
Configuração do Servidor SSH:
As configurações do servidor SSH vão no arquivo /etc/ssh/sshd_config.
Exemplo do arquivo de configuração do cliente SSH (/etc/ssh/sshd_config):
Port 22 ( Essa Opção indica em qual porta o servidor SSH deve receber as conexões dos clientes
SSH. Lembrando que para funcionar, essa mesma porta deve estar configurada para os clientes
SSH);
ListenAddress <IP da Placa de Rede Local>
ListenAddress 192.168.1.10 ( Essa Opção permite limitar o acesso do Servidor SSH somente
para a Rede Local, e não para a Internet);
Protocol 2 ( Essa Opção permite especificar a versão do protocolo SSH que será utilizada.
Atualmente existem 02 versões do protocolo SSH, a versão 1 e a versão 2. Pela versão 1 ser mais
antiga e conter falhas de segurança, e aconselhavel somente aceitar conexões de clientes SSH que
utilizem a versão 2 do protocolo);
PermitRootLogin no ( Essa Opção serve para desativar que Usuários consigam logar como root
no servidor SSH. Essa Opção deve ser desabilitada, pois assim garante uma maior segurança ao
sistema, já que como root, o Usuário podera fazer “qualquer” coisa que bem enteder no sistema);
AllowUsers <Nome do usuário cadastrado no sistema>
AllowUsers dan danilo (Essa Opção permite especificar os Usuários que terão acesso ao
servidor SSH. Quem estiver listado nessa opção, podera ter acesso ao SSH, quem não estiver so
podera utilizar o sistema localmente. Isso garante maior segurança, pois assim contas de Usuários
que não tem necessidade de utilizar o SSH ficam desabilitadas para utiliza-lo);
DenyUsers <Nome do usuário cadastrado no sistema>
DenyUsers dan danilo (Essa Opção permite especificar os Usuários que não terão acesso ao
servidor SSH. Essa Opção é o inverso da Opção “AllowUsers”);
PermitEmptyPasswords no ( Essa Opção permite desabilitar qualquer conta que não possua
senha para não ser utilizada no SSH. E aconselhavel deixar essa Opção desabilitada para aumentar a
segurança no servidor SSH);
Banner = <Nome do arquivo a ser mostrado>
Banner = /etc/ssh/banner.txt (Essa Opção permite mostrar o conteudo do arquivo especificado
antes do prompt de login do cliente SSH. Serve como Advertencia, ou Aviso aos clientes SSH);
X11Forwarding no ( Essa Opção permite desabilitar a execução de programas no modo gráfico
atraves do SSH. Caso o servidor SSH seja acessado atraves da Internet, é aconselhavel deixar essa
opção desativada para não comprometer a banda de Internet disponivel);
Subsystem sftp /usr/lib/sftp-server (Essa Opção permite habilitar um modulo de transferencia
de arquivos, como um servidor de FTP seguro);
Usando Chaves de Autenticação
Por mais seguras que sejam as senhas, sempre existe uma pequena possibilidade de que alguem em
busca de um ataque descubra alguma delas.
Ao inves de depender da senha para acessar o servidor SSH, pode-se utilizar 01 par de chaves de
autenticação, onde a chave publica é instalada nos servidores que serão acessados e a chave privada
(que nunca sai de sua maquina local) é protegida por uma “passphrase”, sem a qual a chave privada
de torna inutel.
Gerando o par de chaves no Cliente, atraves do comando:
$ ssh-keygen -t rsa
$ sudo chmod 600 .ssh/id_rsa (Ajustando as permissões do arquivo)
Esse comando deve ser executado usando seu login de usuário, ou seja, o mesmo login utilizado
para acessar o servidor remoto.
Depois de executado o comando, será necessário cadastrar a “passphrase”, e após isso, serão
gerados 02 arquivos, “.ssh/id_rsa” (Chave Privada) e “.ssh/id_rsa.pub” (Chave Publica) dentro do
seu diretório home.
Depois de gerar o par de chaves, temos que instalar a Chave Publica no servidor, permitindo que ela
seja usada para autenticação. Segue o comando:
$ ssh-copy-id -i ~/.ssh/id_rsa.pub login@<Endereço IP ou Dominio do servidor>
$ ssh-copy-id -i ~/.ssh/id_rsa.pub dan@192.168.1.10
Esse processo de cópia, faz com que o conteudo do arquivo “.ssh/id_rsa.pub” da maquina cliente
seja copiado para o arquivo “.ssh/authorized_keys” do servidor remoto, permitindo assim a conexão
de ambos. Isso tambem pode ser feito manualmente, em caso de problemas.
Concluindo:
Com isso, podemos desativar o uso de senhas, e desativar qualquer outra forma de autenticação com
exceção das chaves, incluindo as duas Opções abaixo no arquivo de configuração do servidor SSH
“/etc/ssh/sshd_config” :
PassWordAuthentication no (Elimina o uso de senhas);
UsePAM no (Elimina o uso de qualquer tipo de autenticação, ao menos que seja as chaves);
Para entrar em vigor essas configurações, basta reiniciar o servidor SSH:
# /etc/init.d/ssh restart (No Debian e seus derivados);
# service sshd restart (No Red Hat, Mandriva, Fedora e CentOS);
Login Automático no SSH:
Para poder logar automaticamente no servidor SSH sem ter que ficar digitando toda vez sua
“Passphrase”, basta digitar os comandos abaixo:
$ ssh-agent
$ ssh-add
O “ssh-agent” funciona com uma especie de cache, ou seja, ele armazena a Passphrase na Memória
Ram para que você não necessite ficar digitando ela toda vez que desejar se conectar. Ao termino da
sessão, a Passphrase e automaticamente excluida da Memória Ram.
É interessante tambem configurar para que esses comandos sejam executados na inicialização do
Sistema Operacional. Com isso, não há necessidade de digitar esses 02 comandos sempre que for
iniciar sua Sessão no Sistema Operacional.
No KDE
Adicionar um atalho dos 02 comandos dentro do diretorio .kde/Autostart em seu diretorio home.
No GNOME
Va na Opção Sistema > Preferencias > Sessões, e adicionar um novo atalho, como na linha abaixo:
“xterm -e 'ssh-agent; ssh-add'”, bastando apenas digitar a Passphrase depois.
Antes tarde do que nunca. Espero ter ajudado.
Abraço,
Danilo.
