+ Responder ao Tópico



  1. #1

    Padrão Mais seguranca no ssh? (Resolvido)

    Ola a todos.
    A muito tempo eu vi um artigo na net de um cara que tinha bolado um esquema muito legal para usar no ssh.
    Ele configurou o ssh para poder aceitar conexao apenas do usuario ssh2 o usuario ssh2 tinha shell falso
    Esse usuario ssh2 tinha permissao de dar um su apenas para o usuario ssh3
    ai o usuario ssh3
    Ai sim o ssh3 poderia virar root
    So que no meio desse esquema todo nao me lembro onde ele fez um script simples que fazia uma pergunta em texto puro uma simples perguntava algo tipo.
    Ex: qual a sua cor preferida?
    Resposta: "unidunite"
    Se a resposta fosse qualquer outra coisa que nao "unidunite" fechava a conexao.
    se alguem ja viu isso por ai e tiver ou ate mesmo puder indicar o link agradeceria muito
    Obrigado a todos pelo tempo.

  2. #2

    Padrão Re: Mais seguranca no ssh?

    cara, a questão é: esse processo rocambolesco todo adiciona MESMO seguranca? dependendo do tipo de exploit que possa ser utilizado para obter acesso root na máquina não vai fazer muita diferenca em quantos passos isto vai ser feito. se a idéia é evitar o acesso a máquina, procure saber sobre técnicas de port knocking e etc porque esse processo que vc descreveu PODE (depende da implementacao, tem que analisar o código pra saber) ser inerentemente inseguro. Se parte do processo consiste em fechar a conexão do ssh, por exemplo, o script pode estar execuando coisas como root.

  3. #3

    Padrão Re: Mais seguranca no ssh?

    a maior segunça.. eh manter o daemon do sshd, e o openssl atualizados..

    e permitir conexoes ao ssh apenas de IPS fixos SEU...


  4. #4

    Padrão Re: Mais seguranca no ssh?

    trocar as portas do sshd não deixar o root autenticar isso é uma boa politica, esse programas que rodam quando inicializam até podem implementar uma camada diferencial de segurança mas efetivamente não são bloqueios.

  5. #5

    Padrão Re: Mais seguranca no ssh?

    Obrigado a todos.
    Bem cada um tem uma opniao .
    Consegui achar o artigo que estava procurando.
    Eu sempre estou em locais onde tem ip dinamico (adsl, cabo e etc).
    Eu particularmente achei show de bola a ideia do cara.
    O link esta a baixo
    obrigado a todos


    http://listas.cipsga.org.br/pipermai...ry/001867.html

  6. #6

    Padrão Re: Mais seguranca no ssh? (Resolvido)

    Ainda não analisei o código que o amigo postou o link, mas vivencio a seguinte situação:

    Sempre estou em lugares diferentes, IP's diferentes mas com o mesmo computador.
    Como fazer para permitir o acesso somente desse computador?
    Uma boa alternativa seria liberar para o MAC mas até onde sei não é enviado o endereço MAC da máquina, e sim do router do link sendo usado em questão?

    Alguém sabe algo do gênero?

  7. #7

    Padrão Re: Mais seguranca no ssh? (Resolvido)

    chaves públicas do ssh resolvem. em vez de autenicar pela senha ele utiliza uma chave que possui muito mais bits que a maioria da senha

  8. #8

    Padrão Re: Mais seguranca no ssh? (Resolvido)

    Certo, mas tem como configurar para aceitar as conexões somente de determinadas chaves?

    Como proceder?

  9. #9

    Padrão Re: Mais seguranca no ssh? (Resolvido)

    Neste caso vc configura o ssh pra autenticar SOMENte POR CHAVES, e como a chave identifica o usuário, pronto. DETALHE: se invadem a sua máquina e tem acesso ao arquvo, já era, entraram na máquina, então vc pode colocar um passphrase na chave.
    procedimentos em https://under-linux.org/content/view/4366/58/

  10. #10

    Padrão Re: Mais seguranca no ssh? (Resolvido)

    Legal amigo, vou pensar nessa solução.

    Abraço!