Implementação de segurança em conexões remotas (SSH)
Publicado por Valmar Neves em 13/09/2006
[ Hits: 10.421 ]
Implementação de segurança em conexões remotas (SSH)
Crie um usuário no sistema o qual o mesmo será utilizado para efetuar conexões remotas.
# adduser remoto --no-create-home
Edite o arquivo /etc/ssh/sshd_config. Mude a porta 22 para outra, sendo que a mesma como padrão aumenta a vulnerabilidade.
Adicione a linha "AllowUsers remoto", sendo que remoto é um usuário de conta de sistema que terá permissão para conectar remotamente pelo serviço SSH.
Mude o parâmetro "PermitRootLogin" de "yes" para "no", não permitindo assim que o usuário root conecte remotamente ao sistema.
Crie um grupo "suporte" para que seja o grupo o qual terá permissão para logar como root.
# addgroup suporte
Edite o arquivo /etc/groups com o comando "vigr" e adicione em frente a linha "suporte:x:xxx:usuário1,usuário2" os nomes dos usuários que pertencerão ao mesmo, ou seja, os usuários que poderão mudar para root.
Edite o arquivo /etc/pam.d/su. Descomente a linha:
auth required pam_wheel.so
e adicione em frente a mesma a opção "group=suporte", ficando assim:
Sendo que o grupo suporte é o grupo criado anteriormente onde estarão os usuários que terão permissão para logar-se como root no sistema.
Bem, agora somente o usuário "remoto" poderá logar remotamente via SSH no seu sistema. O mesmo não conseguirá mudar para root sem antes logar-se para algum dos usuários adicionados no grupo suporte.
Para testar, tente efetuar uma conexão via SSH com qualquer usuário que não seja o "remoto":
ssh usuario@localhost:porta_nova
Não será possível autenticar-se.
Depois teste com o usuário remoto:
ssh remoto@localhost:nova_porta
Conexão efetuada! Tente mudar para root sem estar como um dos usuários adicionados no grupo "suporte", será retornado uma mensagem de acesso negado.
Esta implementação é bem útil para pessoas que necessitam periodicamente fazer conexões em seus servidores e não querem deixar o mesmo vulnerável à invasões.
Obrigado a todos.
Limitando tamanho de downloads com o Squid
Rodando arquivos RMVB no TOTEM
Criando classe de conexão - Python + Postgresql
Instalação do PHP + MySQL + Apache + PHPMyAdmin e resolvendo problemas
Instalando Xdebug no Ubuntu/Mint no PHP 7
MOD_EVASIVE - Block DDOS attacks
otima dica, simples e eficaz principalmente essa do arquivo /etc/palm.d/su, pode servir tanta pra SSH quanto para restringi o uso do root numa maquina com varios usuarios como a minha de casa
Patrocínio
Destaques
Artigos
O Editor de Texto Nano: Simplicidade no Terminal
SynapSeq - programa para estimular as ondas cerebrais
Por que seu __DIR__ falhou ou o "inferno" dos caminhos no PHP
Preparando-se para certificações da LPI através do LPI Lab
Migração de Arch Linux para repositórios CachyOS (Uso de Instruções v3 e v4)
Dicas
Jogando "Magic" gratuitamente no Linux
Zoxide e fzf no bash para incrementar o uso do Terminal
As diferencas entre o clipboard comum e a selecao ativa
Arch Linux com repos do CachyOS para otimização ou usar Gentoo?
Tópicos
Eu aprendi o segredo das artes! hahaha (2)
Como instalo o Clipper/Harbour no Linux Ubuntu (0)
O que você está ouvindo agora? [2] (243)
Top 10 do mês
-
Xerxes
1° lugar - 139.220 pts -
Fábio Berbert de Paula
2° lugar - 70.721 pts -
Buckminster
3° lugar - 47.220 pts -
Alberto Federman Neto.
4° lugar - 37.610 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
5° lugar - 24.902 pts -
edps
6° lugar - 23.995 pts -
Sidnei Serra
7° lugar - 23.409 pts -
Daniel Lara Souza
8° lugar - 22.694 pts -
Mauricio Ferrari (LinuxProativo)
9° lugar - 21.282 pts -
Andre (pinduvoz)
10° lugar - 17.806 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
