Autenticação por desafio e resposta no SSH
Atuando sobre o protocolo SSL, o Secure SHell permite logar-se em uma máquina e executar comandos, em uma versão segura do antigo telnet. Este artigo não ensinará a instalar o SSH, mas sim a usar alguns recursos especiais, particularmente o do login por desafio e resposta (que usa uma chave pública e privada). Porém não apenas usar, mas explicar como funciona nos bastidores.
[ Hits: 148.499 ]
Por: Elgio Schlemer em 27/07/2009 | Blog: https://profelgio.duckdns.org/~elgio
Conclusão
Prático porque você pode colocar senhas diferentes em seus servidores e logar-se neles apenas por desafio e resposta, decorando apenas a sua frase de passagem. Pode colocar sua chave pública em todas as máquinas Linux que você deseja acessar.
Mais prático também porque hoje muitos chaveiros permitem armazenar a frase de passagem, solicitando-a apenas uma única vez por sessão e fazendo realmente um login sem senha nas conexões posteriores. É o caso do Gnome (e não uso KDE para testar).
Muitas coisas fantásticas podem ser realizadas com esta técnica, algumas com bastante cuidado, evidente. Eu, por exemplo, em um curso de Linux, criei um par de chaves e o coloquei no /root/.ssh/authorized_keys de todas as máquinas dos alunos. Assim, a partir do meu notebook, eu podia executar remotamente qualquer comando nas máquinas e sem senha, pois usava o lembrete de senhas do Gnome.
Para desligar uma máquina, bastou um:
ssh root@10.2.3.4 "/sbin/shutdown -h now"
Isto dentro de um for, permite executar em todas as máquinas. Um exemplo mais interessante foi quando precisei que os alunos tivessem poderes de root as vezes, mas não sempre. Quando eu queria lhes dar esta permissão para todas as 20 máquinas, executava do meu notebook:
for IP in `cat ubuntu.txt`; do
ssh root@$IP "/usr/sbin/adduser aluno admin"
done
echo OK
E dentro do arquivo ubuntu.txt tinha os IPs dos clientes, um por linha (nota: no ubuntu o adduser pode ser usado para inserir um usuário já existente em um grupo). Se, depois, não quero mais que o usuário aluno tenha poderes de root, então:
for IP in `cat ubuntu.txt`; do
ssh root@$IP "/usr/sbin/deluser aluno admin"
done
echo OK
Isto porque no Ubuntu para poder usar o sudo basta estar no grupo admin (e no ubuntu o deluser pode ser usado para remover um usuário de um grupo. Nesta forma de uso, o usuário em si não é removido, apenas sai do grupo).
Se você gerencia dezenas de máquinas pode ser extremamente criativo e deixar os scripts trabalharem por você.
2. Como funciona o desafio resposta
3. Desafio e resposta no ssh
4. Configuração do ssh para autenticação por desafio e resposta
5. Conclusão
6. Referências
Parâmetros interessantes do scanf e do printf em C
Criptografia assimétrica com o RSA
Programação com números inteiros gigantes
Recuperar a senha de root iniciando através do init=/bin/bash e alterando o arquivo /etc/shadow
SELinux - Segurança em Servidores GNU/Linux
CheckSecurity - Ferramenta para segurança simples e eficaz, com opção para plugins
Servidor de e-mail seguro com ClamAV e MailScanner
Knockd (bate, bate, bate na porta do céu)
Muito interessante e em linguagem acessível.
O que pode ser considerado uma continuação deste artigo:
http://www.vivaolinux.com.br/artigo/Tuneis-cifrados-com-SSH/
Parabéns elgio, mais um artigo de qualidade.
Muito bom artigo!
Só uma dúvida, após logar com a minha frase, estarei no home ou com os privilégios de qual usuário? O usuário que eu estava logado quando criei a chave?
Bom dia
estou com um grande problema aqui tenho um sistema em php que faz conexoes
automaticas atravez e chave de seguranca, instalada na maquina remota, porem cada
nova conexao ele pede a confirmacao antes e conectar a primeira vez:
Are you sure you want to continue connecting (yes/no)?
ja tentei diversos meio para auto aceitar a conexao, mas sempre sem sucesso
echo -e "yes" | ssh root@200.175.121.18
Artigo muito bom, mas para copiar a chave nao seria melhor usar o ssh-copy-id ?
Segue o comando:
$ssh-copy-id -i ~/.ssh/id_dsa.pub login@servidor
Basta o sftp estar habilitado no servidor!
Funciona com a chave rsa, então acho que deve funcionar com a dsa tambem!
Vlw!
Henrique:
SIM, pode ser usado ssh-copy-id sim.
Mas observe que o ssh-copy-id não passa de um script SHELL :-O
E bem pequeno, alias. Bem simples de entender. Tirando a parte de testes se o usuário passou o que precisava e se a chave existe, etc, etc, a cópia é simplesmente isto:
{ eval "$GET_ID" ; } | ssh $1 "umask 077; test -d .ssh || mkdir .ssh ; cat >> .ssh/authorized_keys" || exit 1
Sendo que a variável GET_ID foi previamente preenchida com a chave.
Não precisa, neste caso, do SFTP. Ele faz usando o ssh mesmo.
Boa dia. Valeu.
E bem vindo ao Viva o Linux!
Elgio,
Gostei muito do seu artigo!
Só me confirma uma coisa: Pra cada máquina que eu usar, terei que ter um par de chaves ou posso usar a mesma para várias máquinas que eu uso?
Aline
Aline,
Respondendo sua pergunta, você pode usar sim a mesma chave pública para logar em várias máquinas diferentes, assim basta que o usuário que você estiver utilizando naquele momento esteja com a chave privada no seu diretório .ssh.
Elgio,
Muito bom artigo, continue assim.
O site Preciso Disso está contratando um web developer senior (back end) com forte conhecimento em PHP em cake e outros frameworks. Além de participar do desenvolvimento da versão 2.0 do site (em andamento) o desenvolvedor terá que criar aplicativos de busca, vídeos e notícias para redes sociais.O candidato deve ter perfil empreendedor e vontade de crescer e se tornar sócio de uma empresa startup.
Salário de R$ 4-5 mil + VR + VT + participação nos lucros + ações da empresa a partir do segundo ano.
Envie o seu CV para thiago@precisodisso.com.br
Para trabalhar na região de Moema em São Paulo
Caro Thiago.
Coloque seu anúncio neste forum: http://www.vivaolinux.com.br/comunidade/Classificados-de-empregos-Linux/forum/
Os moderadores do VOL terão maior prazer em colocar ele em destaque na página principal do VOL.
Coloque e me avise, ok?
Elgio
Simplesmente maravilhoso Elgio! Parabéns!
Artigo perfeito, sempre as pessoas entendem melhor com alguns exemplos do cotidiano, para dps citar um exemplo pratico da apresentacao do assunto, e foi realmente isso q vc fez. Esta' de parabe'ns, continue assim!
Patrocínio
Destaques
Artigos
Passkeys: A Evolução da Autenticação Digital
Instalação de distro Linux em computadores, netbooks, etc, em rede com o Clonezilla
Título: Descobrindo o IP externo da VPN no Linux
Armazenando a senha de sua carteira Bitcoin de forma segura no Linux
Enviar mensagem ao usuário trabalhando com as opções do php.ini
Dicas
Instalando Brave Browser no Linux Mint 22
vídeo pra quem quer saber como funciona Proteção de Memória:
Encontre seus arquivos facilmente com o Drill
Mouse Logitech MX Ergo Advanced Wireless Trackball no Linux
Compartilhamento de Rede com samba em modo Público/Anônimo de forma simples, rápido e fácil
Tópicos
Remoção de propaganda com o programa Comskip[AJUDA] (1)
Linux Lite Demorando Muito Para Ligar (0)
PC não liga no filtro de linha (3)
Top 10 do mês
-
Xerxes
1° lugar - 70.739 pts -
Fábio Berbert de Paula
2° lugar - 53.334 pts -
Mauricio Ferrari
3° lugar - 15.990 pts -
Andre (pinduvoz)
4° lugar - 14.947 pts -
Alberto Federman Neto.
5° lugar - 14.724 pts -
Daniel Lara Souza
6° lugar - 14.201 pts -
Diego Mendes Rodrigues
7° lugar - 14.096 pts -
Buckminster
8° lugar - 13.200 pts -
edps
9° lugar - 11.806 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 11.192 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
