Restringir conexão ssh

**andunno** · 01-03-2007, 16:59

Boa tarde pessoal.
Gostaria de saber se é possível eu restringir que somente determinada máquina consiga conectar-se, via ssh, em uma máquina remota com o usuário root.

**mastellaro** · 02-03-2007, 00:22

Sim... no iptables vc pode definiar qual ip entrar pelo SSH.... por exemplo.. na minha empresa.. só o ip externo x.x.x.x pode acessar ssh lá... o resto nao entra...

mais ou menos assim:

iptables -A INPUT -p tcp -s 200.x.x.x/26 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 22 -j REJECT

assim vc libera o ssh pra esse ip... e bloqueia pro resto

obs.: eth1 é sua interface externa...

flw

**alexandrecorrea** · 02-03-2007, 02:55

acho que assim fica mais organizado:

iptables -t filter -N SSH
iptables -t filter -I INPUT -p tcp --dport 22 -j SSH

iptables -t filter -A SSH -s 200.200.200.200 -j ACCEPT
iptables -t filter -A SSH -s 192.168.0.1 -j ACCEPT
iptables -t filter -A SSH -j DROP

assim ele cria uma tabela .. e desvia todo trafego do ssh para esta tabela.. e vc vai cadastrando os ips que pode acessar na nova tabela

**pssgyn** · 04-03-2007, 14:23

Postado originalmente por alexandrecorrea

acho que assim fica mais organizado:

iptables -t filter -N SSH
iptables -t filter -I INPUT -p tcp --dport 22 -j SSH

iptables -t filter -A SSH -s 200.200.200.200 -j ACCEPT
iptables -t filter -A SSH -s 192.168.0.1 -j ACCEPT
iptables -t filter -A SSH -j DROP

assim ele cria uma tabela .. e desvia todo trafego do ssh para esta tabela.. e vc vai cadastrando os ips que pode acessar na nova tabela

Alexandre, boa tarde .....
E como ficaria caso o ip externo que quer acessar o servidor remoto for ip dinâmico ???
Eu li essa sua solução e achei interessante. Também tenho alguns problemas de acesso externo ao ssh. Não deixar que outros usuários e principalmente os xeretas ficarem tentando acessar o ssh do nosso servidor.
Um grande abraço caro amigo .....

**alexandrecorrea** · 06-03-2007, 03:24

para ip dinamico vc tem 2 opções

1- adicionar manualmente o ip (caso seja VOCE q tenha o ip dinamico.. fica inviavel)

2- criar um script em php que voce acesse .. coloque login e senha.. ai passa para uma segunda tela onde vc digita o ip que quer adicionar.. e o php executa o comando para adicionar....

o caso da opção 2 .. vc precisa usar o SUDO .. e permitir que o apache execute o iptables com permissao de root ..

**viny_carvalho** · 09-03-2007, 17:30

Amigo, existe uma outra opção. Você pode usar o knock, ele é uma proteção a mais. Pra sua solução eu acho que é válido. Assim você adiciona uma sequencia de portas pra bater e aí ele abre a 22 apenas para o teu IP que você está no momento e depois fecha ela novamente.

**pssgyn** · 11-03-2007, 01:14

Galera, obrigado pelas dicas .........
Vou correr atrás de cada solução apresentada .........
Obrigado povo do Underlinux ..................

Restringir conexão ssh

Ferramentas de Tópicos

Restringir conexão ssh