Implementação de segurança em conexões remotas (SSH)
Publicado por Valmar Neves em 13/09/2006
[ Hits: 10.184 ]
Implementação de segurança em conexões remotas (SSH)
Crie um usuário no sistema o qual o mesmo será utilizado para efetuar conexões remotas.
# adduser remoto --no-create-home
Edite o arquivo /etc/ssh/sshd_config. Mude a porta 22 para outra, sendo que a mesma como padrão aumenta a vulnerabilidade.
Adicione a linha "AllowUsers remoto", sendo que remoto é um usuário de conta de sistema que terá permissão para conectar remotamente pelo serviço SSH.
Mude o parâmetro "PermitRootLogin" de "yes" para "no", não permitindo assim que o usuário root conecte remotamente ao sistema.
Crie um grupo "suporte" para que seja o grupo o qual terá permissão para logar como root.
# addgroup suporte
Edite o arquivo /etc/groups com o comando "vigr" e adicione em frente a linha "suporte:x:xxx:usuário1,usuário2" os nomes dos usuários que pertencerão ao mesmo, ou seja, os usuários que poderão mudar para root.
Edite o arquivo /etc/pam.d/su. Descomente a linha:
auth required pam_wheel.so
e adicione em frente a mesma a opção "group=suporte", ficando assim:
Sendo que o grupo suporte é o grupo criado anteriormente onde estarão os usuários que terão permissão para logar-se como root no sistema.
Bem, agora somente o usuário "remoto" poderá logar remotamente via SSH no seu sistema. O mesmo não conseguirá mudar para root sem antes logar-se para algum dos usuários adicionados no grupo suporte.
Para testar, tente efetuar uma conexão via SSH com qualquer usuário que não seja o "remoto":
ssh usuario@localhost:porta_nova
Não será possível autenticar-se.
Depois teste com o usuário remoto:
ssh remoto@localhost:nova_porta
Conexão efetuada! Tente mudar para root sem estar como um dos usuários adicionados no grupo "suporte", será retornado uma mensagem de acesso negado.
Esta implementação é bem útil para pessoas que necessitam periodicamente fazer conexões em seus servidores e não querem deixar o mesmo vulnerável à invasões.
Obrigado a todos.
Limitando tamanho de downloads com o Squid
Rodando arquivos RMVB no TOTEM
Repositórios Multimídia no Debian 7
Iniciando neste mundo maravilhoso chamado Linux
Etapas do desenvolvimento do kernel
Como trocar chave de segurança entre servidores
otima dica, simples e eficaz principalmente essa do arquivo /etc/palm.d/su, pode servir tanta pra SSH quanto para restringi o uso do root numa maquina com varios usuarios como a minha de casa
Patrocínio
Destaques
Artigos
Máquina perereca - até onde é possível o uso de Linux?
Mitigação - O que é e quando é "seguro" desabilitar
Atualizar Debian Online de uma Versão para outra
A arte e a prática da Disciplina a longo prazo
Topgrade - Atualize seu sistema Linux inteiro com um único comando
Dicas
Como anda a saúde do disco rígido?
Reescalando a tela hd para fullhd com o xrandr
Tópicos
Debian 13 "trixie&... lançado! (9)
Programas nao carrega os topicos (10)
Rede Windows / Linux Mint- pastas e arquivos somente como leitura (4)
Top 10 do mês
-
Xerxes
1° lugar - 74.324 pts -
Fábio Berbert de Paula
2° lugar - 47.353 pts -
Buckminster
3° lugar - 19.885 pts -
Mauricio Ferrari
4° lugar - 16.184 pts -
Daniel Lara Souza
5° lugar - 14.617 pts -
Alberto Federman Neto.
6° lugar - 14.423 pts -
edps
7° lugar - 13.557 pts -
Andre (pinduvoz)
8° lugar - 13.489 pts -
Sidnei Serra
9° lugar - 12.633 pts -
Diego Mendes Rodrigues
10° lugar - 12.314 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
