Implementação de segurança em conexões remotas (SSH)

Publicado por Valmar Neves em 13/09/2006

[ Hits: 9.993 ]

 


Implementação de segurança em conexões remotas (SSH)



Umas das maiores preocupações dos administradores de redes é a implementação de segurança em seu servidores, impedindo assim que dados contidos nos mesmos caiam em mãos erradas, assim como controlar a quem será permitido acesso a estes dados.

Crie um usuário no sistema o qual o mesmo será utilizado para efetuar conexões remotas.

# adduser remoto --no-create-home

Edite o arquivo /etc/ssh/sshd_config. Mude a porta 22 para outra, sendo que a mesma como padrão aumenta a vulnerabilidade.

Adicione a linha "AllowUsers remoto", sendo que remoto é um usuário de conta de sistema que terá permissão para conectar remotamente pelo serviço SSH.

Mude o parâmetro "PermitRootLogin" de "yes" para "no", não permitindo assim que o usuário root conecte remotamente ao sistema.

Crie um grupo "suporte" para que seja o grupo o qual terá permissão para logar como root.

# addgroup suporte

Edite o arquivo /etc/groups com o comando "vigr" e adicione em frente a linha "suporte:x:xxx:usuário1,usuário2" os nomes dos usuários que pertencerão ao mesmo, ou seja, os usuários que poderão mudar para root.

Edite o arquivo /etc/pam.d/su. Descomente a linha:

auth   required     pam_wheel.so

e adicione em frente a mesma a opção "group=suporte", ficando assim:

auth  required    pam_wheel.so group=suporte

Sendo que o grupo suporte é o grupo criado anteriormente onde estarão os usuários que terão permissão para logar-se como root no sistema.

Bem, agora somente o usuário "remoto" poderá logar remotamente via SSH no seu sistema. O mesmo não conseguirá mudar para root sem antes logar-se para algum dos usuários adicionados no grupo suporte.

Para testar, tente efetuar uma conexão via SSH com qualquer usuário que não seja o "remoto":

ssh usuario@localhost:porta_nova

Não será possível autenticar-se.

Depois teste com o usuário remoto:

ssh remoto@localhost:nova_porta

Conexão efetuada! Tente mudar para root sem estar como um dos usuários adicionados no grupo "suporte", será retornado uma mensagem de acesso negado.

Esta implementação é bem útil para pessoas que necessitam periodicamente fazer conexões em seus servidores e não querem deixar o mesmo vulnerável à invasões.

Obrigado a todos.

Outras dicas deste autor

Limitando tamanho de downloads com o Squid

Rodando arquivos RMVB no TOTEM

Leitura recomendada

Configurando Speedy no Slackware 12.2 corretamente

Sistema de rastreamento gratuito para Linux

Guia de instalação do Lazarus para Kurumin

Caracteres semigráficos

Enviar IP dinâmico por e-mail

  

Comentários
[1] Comentário enviado por flaviodbz em 19/10/2008 - 03:39h

otima dica, simples e eficaz principalmente essa do arquivo /etc/palm.d/su, pode servir tanta pra SSH quanto para restringi o uso do root numa maquina com varios usuarios como a minha de casa



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts