[FUG-BR] Dúvidas de acesso SSH ao FreeBSD 9.1RCX

Jose Nilton jniltinho em gmail.com
Quarta Novembro 21 08:32:39 BRST 2012


Obrigado Paulo pela sua composta resposta.

Eu sei desse tipo de segurança, pois sou sysadmin,

Mas o meu ambiente de teste é em uma VM só local mesmo, mas quando tiver um
ambiente de produção deny para SSH de externo como você descreve.

Depois quando tiver instalado e brincado com ele, vou criar um screencast
de instalação de FreeBSD 9.1RC3, e colocar no vimeo.

Assim vou compartilhar minhas experiencias do OS com todos.

Uma outra coisa que achei muito bom PCBSD, que dá para instalar o not, vou
efetuar um teste depois, verifiquei que o BSD tem o pacote do Virtualbox,
que é uma mão na roda, pois alguns programas que tenho só roda no Win$, por
isso que tenho uma VM com Win$.

Assim não muda muito não do ambiente que tenho hoje -> SO Principal Linux,
e outras VMs com outros OS.

Entendo a sua preocupação em informar a maneira correta e mais segura.

Obrigado

PS* gostei da frase:
UNIX/BSD é igual russo, mudanças só se julgar necessário, e quando muda
ninguém nota.



Em 21 de novembro de 2012 07:47, Paulo Henrique
<paulo.rddck em bsd.com.br>escreveu:

> Em 21 de novembro de 2012 09:12, Jose Nilton <jniltinho em gmail.com>
> escreveu:
>
> > Tenho algumas duvidas quanto o ambiente no FreeBSD,
> >
> > Por padrão o root não tem acesso SSH ao Servidor correto, a gente tem que
> > editar o arquivo /etc/ssh/sshd_config, descomentar a linha e colocar yes,
> > E reiniciar o programa.
> >
> > Outra coisa ao adicionar o usuário ele não tem privilegio de executar o
> > comando su -, para acessar o root
> > Tem alguma segurança que desabilita isso ?
> >
> > Por default o root vem com shel csh, e o usuário sh, o csh é melhor que o
> > sh ?
> >
> >
> > Desculpe as perguntas bobas, coisa de iniciante.
> >
> >
> > Desde já agradeço.
> >
> > --
> >
> >
> ..............................................................................
> > *Com Deus todas as coisas são possíveis* :::
> > LinuxPro<http://www.linuxpro.com.br>
> >
> > *"A qualidade nunca se obtém por acaso; ela é sempre o resultado do
> esforço
> > inteligente." (John Ruskin)
> > "A mente que se abre a uma nova ideia jamais volta ao seu tamanho
> original"
> > (Albert Einstein)*
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> Primeiro, não habilita ssh para root, evitará fatos de lamers dizendo
> "consegui acesso root em um freebsd" isso degride a imagem do sistema, ao
> contrario cria um usuario coloca ele nos grupos sshd e wheel, assim poderá
> acessar o ssh e executar o su.
> No sshd_config, descomente/altere a linhas:
>
> #Port 22
> #ListenAddress 0.0.0.0
> #LoginGraceTime 2m
> #PermitRootLogin no
> #Protocol 2
> #UsePrivilegeSeparation yes
> #PermitUserEnvironment no
> #PasswordAuthentication no
> #PermitEmptyPasswords no
>
>
> Para
>
> Port 6666
>  # vai evitar muitos brute-forces, os moleques parece que nem sabem usar
> nmap e configurar o brute-force para a porta especifica.
> ListenAddress 200.200.200.200
>  # coloca o ip da interface que irá aceitar conexões, nas demais, ipfw add
> 0 deny tcp from any to me $SSHPORT
> LoginGraceTime
> # uso apenas por comodidade, melhor do que ficar segurando o server sem
> nada.
> PermitRootLogin no
>  # mantem o no, é melhor do que ter um monte de bunhe***** tentando rootar
> seu bsd.
> Protocol 2
>  # por padrão é 1 ( menos seguro ), acho que no 9 em diante já é 2, o
> exemplo foi tirado de um 8.3
> UsePrivilegeSeparation yes
> # para que juntar se separados funciona bem.
> PermitUserEnvironment no
> # vai que uma variavel X do ambiente do seu usuário permite comprometer a
> segurança, melhor não arriscar.
> PasswordAuthentication yes
>  # se tem chaves usa em conjunto, coloca uma senha forte do tipo
> #@#$$@#LSKjdjaksqo que quando o cara conseguir acesso estará proximo da
> proxima geração de homens bionicos tri-milenar !! :D
> PermitEmptyPasswords no
>  # so descomente, m****s acontece, melhor se garantir, mesmo editando o
> master_passwd.db não vai obter o desejado acesso.
>
> Se alguém mais possuir outras sugestões, vamos orientar !!! o cara está
> animado e isso me deixa motivado com o FreeBSD.
>
> Abraços e tenha um otimo dia a todos !!
>
> --
> :=)><(=:
> Linux é igual brasileiro, pode não ser a melhor solução mais para tudo tem
> um jeito.
> Windows é igual americano, não gosta de velharia e toda mudança muda a cara
> mais não os hábitos.
> Solaris é igual europeu, pinta as paredes para dizer que a casa é nova mais
> a fundação é do seculo passado.
> UNIX/BSD é igual russo, mudanças só se julgar necessário, e quando muda
> ninguém nota.
> Flamers > /dev/null !!!
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
..............................................................................
*Com Deus todas as coisas são possíveis* :::
LinuxPro<http://www.linuxpro.com.br>

*"A qualidade nunca se obtém por acaso; ela é sempre o resultado do esforço
inteligente." (John Ruskin)
"A mente que se abre a uma nova ideia jamais volta ao seu tamanho original"
(Albert Einstein)*


Mais detalhes sobre a lista de discussão freebsd