[FUG-BR] Gravar Tudo feito no console
Francisco Cabrita
francisco.cabrita em gmail.com
Quarta Março 18 06:51:47 BRT 2009
Olá,
A ver se percebi a questão:
"Esse servidor ssh serve apenas de "stargate" :) para outras máquinas
na rede local?
Se sim, tenho cenários desses e resolvi a questão com:
http://www.freebsd.org/cgi/url.cgi?ports/shells/ibsh/pkg-descr
no conf do ibsh defines apenas o que autorizas o user a correr et voi lá. tipo
ssh, para poder fazer login para as outras maquinas
exit, por razoes obvias
passwd, caso queiram mudar de pass
e pronto nem um simples ls lhes dou.
Bem, se não for isto que pretendes então audit nisso e espera que os
logs não te matem a máquina.
Abraços amigos,
Francisco
PS: primeiro post nesta ml :P
2009/3/18 josias gonçalves <josiaslg em bsd.com.br>:
> Dentro do sistema, crie um shell script que pergunte o nome do
> usuario, senha, host de conexão e porta em que o ssh client deve se
> conectar. Já no login, "prenda" o usuário a executação apenas deste sh
> de forma a ocasionar logout na interrupção dele. Use as outras
> ferramentas já ditas anteriormente como audit para maior supervisão.
>
> 2009/3/14 Eduardo Costa Lisboa <eduardo.lisboa em gmail.com>:
>> 2009/3/13 Marcelo Diotto <diotto em gmail.com>
>>
>>> Pessoal,
>>> Criei um servidor ssh que será visivel de fora da empresa, o objetivo é
>>> que determinadas pessoas possam acessar este pc via ssh e, a partir dele,
>>> outros pcs dentro da empresa.
>>
>>
>>> Minha preocupação é com relação à segurança, a primeira coisa que pensei
>>> é que seria interessante que fosse gravado em um arquivo de log tudo que
>>> foi
>>> digitado pelos usuários, existe essa possibilidade?
>>
>>
>> A captura da sessão pode ser feita em vários níveis: pelo firewall (uma
>> bridge transparente?), pela sessão (screen?) ou talvez com algum módulo de
>> segurança integrado ao kernel -- que impeça o usuário de matar o processo,
>> caso ele escale para superusuário.
>>
>> Depende do nível de segurança que você quer implementar e da complexidade do
>> ambiente que queira oferecer.
>>
>>>
>>> Alguém tem mais alguma sugestão de segurança?
>>
>>
>> Uma coisa que pode ser feita, e que parece bobeira é mudar a porta do SSH.
>> Se você puser na 22 e usar uma senha fraca, pode ter CERTEZA que alguém além
>> do usuário desejado vai entrar.
>>
>> Outra coisa, se você quiser ir mais além é usar "port knocking", procure no
>> google sobre isso pra ver se te interessa.
>>
>> Para descer a níveis ainda mais baixos, sugeriria o snapshot de uma raiz
>> (uso lvm no Linux) pré-pronta oferecida via jailing ou virtualização.
>>
>>
>>
>>
>>> Obrigado
>>> Marcelo
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>>
>>
>> --
>> Eduardo Costa Lisboa
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
blog: http://sufixo.com/raw
http://www.linkedin.com/in/franciscocabrita
Mais detalhes sobre a lista de discussão freebsd