[FUG-BR] Controlar IP com acesso ao SSH

Daniel de Oliveira akulatraxas em gmail.com
Terça Julho 29 10:03:00 BRT 2008


Uma boa opção seria permitir o acesso a ssh a máquina somente após
fechar uma vpn e/ou usar certificados (onde o cliente necessitaria ter
certificados que a máquina aceitasse).

2008/7/29 Eduardo Lemos de Sa <edulsa em quimica.ufpr.br>:
> Damas e Cavalheiros
>
> O bloqueio do sshd pelo firewall deverá funcionar sem problemas.
> Entretanto, se por alguma eventualidade, algum usuário em viagem (os do
> grupo wheel são as maiores vítimas disto) necessitar acessar a máquina a
> partir de uma não cadastrada no firewall, a sua tentativa será
> infrutífera.
>
> Também sofro ataques constantes e diários por tentativas de conexão ssh,
> então implantei a seguinte política de segurança:
>
> 1) o acesso via password é negado (funciona somente via passphrase), logo
> um atacante (um nome bonito para alguém que não parece ter tão nobres
> propósitos assim) não conseguirá acesso se ele não tiver uma chave
> previamente instalada dentro da máquina atacada. Esta medida só será
> inócua se antes deste bloqueio, o atacante tiver criado e instalado a sua
> chava prevendo medidas retaliativas
>
> 2) no /etc/ssh/sshd_config (uso o openssh versão 5.01p, que é instalado a
> partir do /usr/ports/security/openssh-portable) eu adiciono duas linhas:
>
>
> AllowUsers user1 user2 user3 user4 ....
> AllowGroups group1 group2 group3 .....
>
>
> onde o significado de user? e group? são óbvios.
>
> No meu caso, isto funciona perfeitamente bem e é fácil de configurar
> porque eu tenho poucos usuários (os nós são para processamento
> matemático). Caso a lista de usuários seja muito grande e se fique
> trabalhoso configurá-la a cada acesso, você pode comentar a linha do
> AllowUsers e deixar a linha do AllowGroups. Assim, cada vez que você
> acrescentar um usuário novo à sua máquina, lembre-se de insiri-lo em um
> grupo cadastrado no AllowGroups.
>
> As práticas 1 e 2 são bastante eficazes, embora a simples adoção de uma
> delas já aumenta em muitas as dificuldades para um ataque bem sucedido.
>
> E, estava esquecendo_me:
>
> PermitRootLogin no
>
>
> (permitir a conexão direta como root é suicídio se o sistema é vulnerável
> à ataques)
>
>
> Felicidades
>
>
> Eduardo
>
>
>
>
>> Guilherme, boa noite
>>
>> Você pode controlar o acesso com o ipfw, além disso, coloque o sshd
>> rodando
>> numa porta diferente da porta padrão 22.
>>
>> Exemplo de controle com o ipfw:
>>
>> ipfw table 1 flush
>> ipfw table 1 add ip_confiavel1
>> ipfw table 1 add ip_confiavel2
>> ...
>>
>> ipfw add allow tcp from table\(1\) to me <porta_sshd>
>> ipfw add allow tcp from me <porta_sshd> to table\(1\)
>> ...
>> ipfw add deny log tcp from any to me <porta_sshd>
>>
>>
>> 2008/7/27 Guilherme Alves <galves44 em yahoo.com.br>
>>
>>> Olá amigos, boa noite.
>>>
>>> Observei no relatório que o root envia por e-mail sobre a relação de
>>> acesso
>>> negado ao tentar acessar o SSH (usuário ou senha inválidos).
>>> Encontrei vários IP's e muitos usuários diferentes, no qual não obteve
>>> sucesso.
>>> Verifiquei e todos os IP's listados eram do exterior.
>>>
>>> Desde então, estou com receio de alguém tentar acessar o SSH de fora e
>>> por
>>> algum azar meu, a pessoa conseguir acessar com o usuário e senha
>>> corretos.
>>> Neste caso, o que vocês, caros amigos me indicaria?
>>>
>>> Existe a possibilidade de eu bloquear o acesso externo ao SSH e liberar
>>> somente para algum ip específico? Por exemplo, só consegue acessar por
>>> SSH
>>> se for algum dos IP's que eu definir.
>>>
>>> Se existe essa forma, como faria isso?
>>> Alguém poderia me auxiliar?
>>>
>>> Fico no aguardo de uma ajuda.
>>> Boa noite. Obrigado!
>>>
>>>
>>>      Novos endereços, o Yahoo! que você conhece. Crie um email novo com
>>> a
>>> sua cara @ymail.com ou @rocketmail..com.
>>> http://br.new.mail.yahoo.com/addresses
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>>
>>
>> --
>> Best regards,
>>
>> BONIEK MORAIS
>> Network/Systems Administrator
>> Mail: boniek.morais em gmail.com
>> MSN: boniek.morais em hotmail.com
>> Skype: boniek.morais
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
> --
> Eduardo Lemos de Sa
> edulsa em quimica.ufpr.br
> Professor Assoc. I - Departamento de Quimica
> Universidade Federal do Parana
> C. P. 19081
> 81531-990 Curitiba/PR - Brazil
> Fone (41) 3361 3300
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Daniel de Oliveira
----
Network and System Analyst
Security Specialist
IBM RISC Specialist
IBM Storage Specialist
Linux/Unix Specialist
Linux User #: 405334


Mais detalhes sobre a lista de discussão freebsd