[FUG-BR] Controlar IP com acesso ao SSH

Terça Julho 29 08:34:48 BRT 2008

Damas e Cavalheiros

O bloqueio do sshd pelo firewall deverá funcionar sem problemas.
Entretanto, se por alguma eventualidade, algum usuário em viagem (os do
grupo wheel são as maiores vítimas disto) necessitar acessar a máquina a
partir de uma não cadastrada no firewall, a sua tentativa será
infrutífera.

Também sofro ataques constantes e diários por tentativas de conexão ssh,
então implantei a seguinte política de segurança:

1) o acesso via password é negado (funciona somente via passphrase), logo
um atacante (um nome bonito para alguém que não parece ter tão nobres
propósitos assim) não conseguirá acesso se ele não tiver uma chave
previamente instalada dentro da máquina atacada. Esta medida só será
inócua se antes deste bloqueio, o atacante tiver criado e instalado a sua
chava prevendo medidas retaliativas

2) no /etc/ssh/sshd_config (uso o openssh versão 5.01p, que é instalado a
partir do /usr/ports/security/openssh-portable) eu adiciono duas linhas:

AllowUsers user1 user2 user3 user4 ....
AllowGroups group1 group2 group3 .....

onde o significado de user? e group? são óbvios.

No meu caso, isto funciona perfeitamente bem e é fácil de configurar
porque eu tenho poucos usuários (os nós são para processamento
matemático). Caso a lista de usuários seja muito grande e se fique
trabalhoso configurá-la a cada acesso, você pode comentar a linha do
AllowUsers e deixar a linha do AllowGroups. Assim, cada vez que você
acrescentar um usuário novo à sua máquina, lembre-se de insiri-lo em um
grupo cadastrado no AllowGroups.

As práticas 1 e 2 são bastante eficazes, embora a simples adoção de uma
delas já aumenta em muitas as dificuldades para um ataque bem sucedido.

E, estava esquecendo_me:

PermitRootLogin no

(permitir a conexão direta como root é suicídio se o sistema é vulnerável
à ataques)

Felicidades

Eduardo

> Guilherme, boa noite
>
> Você pode controlar o acesso com o ipfw, além disso, coloque o sshd
> rodando
> numa porta diferente da porta padrão 22.
>
> Exemplo de controle com o ipfw:
>
> ipfw table 1 flush
> ipfw table 1 add ip_confiavel1
> ipfw table 1 add ip_confiavel2
> ...
>
> ipfw add allow tcp from table\(1\) to me <porta_sshd>
> ipfw add allow tcp from me <porta_sshd> to table\(1\)
> ...
> ipfw add deny log tcp from any to me <porta_sshd>
>
>
> 2008/7/27 Guilherme Alves <galves44 em yahoo.com.br>
>
>> Olá amigos, boa noite.
>>
>> Observei no relatório que o root envia por e-mail sobre a relação de
>> acesso
>> negado ao tentar acessar o SSH (usuário ou senha inválidos).
>> Encontrei vários IP's e muitos usuários diferentes, no qual não obteve
>> sucesso.
>> Verifiquei e todos os IP's listados eram do exterior.
>>
>> Desde então, estou com receio de alguém tentar acessar o SSH de fora e
>> por
>> algum azar meu, a pessoa conseguir acessar com o usuário e senha
>> corretos.
>> Neste caso, o que vocês, caros amigos me indicaria?
>>
>> Existe a possibilidade de eu bloquear o acesso externo ao SSH e liberar
>> somente para algum ip específico? Por exemplo, só consegue acessar por
>> SSH
>> se for algum dos IP's que eu definir.
>>
>> Se existe essa forma, como faria isso?
>> Alguém poderia me auxiliar?
>>
>> Fico no aguardo de uma ajuda.
>> Boa noite. Obrigado!
>>
>>
>>      Novos endereços, o Yahoo! que você conhece. Crie um email novo com
>> a
>> sua cara @ymail.com ou @rocketmail..com.
>> http://br.new.mail.yahoo.com/addresses
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
>
> --
> Best regards,
>
> BONIEK MORAIS
> Network/Systems Administrator
> Mail: boniek.morais em gmail.com
> MSN: boniek.morais em hotmail.com
> Skype: boniek.morais
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

-- 
Eduardo Lemos de Sa
edulsa em quimica.ufpr.br
Professor Assoc. I - Departamento de Quimica
Universidade Federal do Parana
C. P. 19081
81531-990 Curitiba/PR - Brazil
Fone (41) 3361 3300