Acesso SSH via certificado e login/senha

[jcfreire]

Salve Pessoal,

Meus conhecimentos em Linux são parcos, mas eu preciso saber se existe uma possibilidade de configuração em um servidor SSH.

Por favor, alguem sabe me dizer se é possível em um mesmo servidor permitir a qualquer máquina o acesso via certificado e ao mesmo tempo somente a algumas máquinas em grupos de ips o acesso através de login/senha?

O pessoal da minha empresa está dizendo que é impossível ter os dois ao mesmo tempo, que só é possível uma ou outra configuração. Que se for configurado que o acesso deve ser feito via certificado que não é possível a ninguem se conectar via login senha? Por favor, esta informação procede? A mim parece uma grande restrição. Se for possível o que deve ser feito?

Obrigado pela ajuda,

celso

[ruyneto]

Amigo,

Eu já usei SSH com certificado e login em outro usuário (não o que gerou as chaves) de máquinas sem certificado e consegui. Mas recomendo pro segurança quando for usar SSH se possível sempre utilizar as seguintes consigurações:
1-Trocar a porta do SSH
2- Criar um usuário comum p/ conexão do SSH
3- Sempre usar certificado para conexão
4- Além do certificado obrigar a usar login e senha.
5-Sempre utilizar protocolo versão 2

Abraços.

[jcfreire]

Olá,

Obrigado, mas o problema na realidade é o seguinte: temos um sistema antigo aqui que para se autenticar tenta realizar um login via ssh no servidor usando login e senha. Os caras configuraram então as faixas de ip da escola para autorizar o login do sistema via ssh com login/senha.

O problema é que eu quero criar um tunel ssh de casa pra poder usar o smtp pra enviar meus emais e dai eles querem que eu dê o número de ip. Como em casa, ou quando estou viajando, fica dificil a cada vez enviar o número de ip, eu gostaria de fazer o login via certificado.

Por isso esta situacao: para os computadores da faculdade deve-se autorizar login via login/senha. Qualquer outro computador só poderá realizar login via certificado. Será que é possível configurar esta situação?

celso

[allisonvoll]

Então nesse caso as chaves ssh já não serviriam, pois você precisa criar uma para cada host que ira se conectar ao servidor, pois é o servidor que pega as chaves dos hosts e verifica na hora da conexão se a chave privada bate com a chave pública criada, e não é aconselhavel usar a mesma chave privada em mais de um host, muito menos ficar levando a chave privado de um lado para outro para ter acesso de qualquer maquina.

Acredito que a melhor solução nessa caso seria utilizar vpn, visto que você teria total acesso de qualquer lugar como se você estivesse na rede local, aí nem precisaria fazer um tunel ssh para acessar o smtp, lógico com criptografia ssl/tts e para mais segurança algumas regras de firewall.

A[]'s

[jcfreire]

Salve,

Então, voltamos a questão inicial: é possível configurar o servidor para, considerando o ip, permitir ou o acesso via senha/login, ou o acesso via certificado? Ou seja, nunca o mesmo ip, faria os dois tipos de acesso, ou faria de um jeito ou de outro.

celso

[allisonvoll]

Você pode configurar o ssh para aceitar tanto por senha como por chave ou então exigir os dois agora sobre só uma faixa de ips ter o acesso, provavelmente foi bloqueado por firewall então não tem o que fazer a não ser executar outra instância do sshd em outra porta e nessa exigir a chave e a senha (acredito que é isso que você quer), porém você vai ter que levar sempre a chave privada e usar a mesma para todas as maquinas (o que não é aconselhavel por motivos de segurança, mas como não são máquinas pré-definidas é bom ao menos não deixar o arquivo em um computador público e exigir senha mesmo assim).

Para executar outra instância do sshd basta apenas criar outro arquivo de configuração definir outra porta e configurar para exigir as chaves e a senha, então inicia o sshd com o parâmetro -f apontando para o novo arquivo de configuração, é aconselhavel você criar um script de inicialização de acordo com a padronização de sua distribuição com um pidfile separado, pode usar o script do ssh já existente como base e alterar o path do pidfile e do arquivo de configuração.

Assim você terá duas instâncias do sshd uma na porta X que pode ser filtrada via firewall para somente ter acesso de determinados endereços de ip e outra instância na porta Y configurada para aceitar somente conexões com chave e senha.

A[]'s

[jcfreire]

Legal,

Muito obrigado. Esta solução efetivamente deve resolver meu problema, isto é, se o pessoal da informática se dispuser a implementá-la :-)

Novamente obrigado,

celso