Mais seguranca no ssh? (Resolvido)
Ola a todos.
A muito tempo eu vi um artigo na net de um cara que tinha bolado um esquema muito legal para usar no ssh.
Ele configurou o ssh para poder aceitar conexao apenas do usuario ssh2 o usuario ssh2 tinha shell falso
Esse usuario ssh2 tinha permissao de dar um su apenas para o usuario ssh3
ai o usuario ssh3
Ai sim o ssh3 poderia virar root
So que no meio desse esquema todo nao me lembro onde ele fez um script simples que fazia uma pergunta em texto puro uma simples perguntava algo tipo.
Ex: qual a sua cor preferida?
Resposta: "unidunite"
Se a resposta fosse qualquer outra coisa que nao "unidunite" fechava a conexao.
se alguem ja viu isso por ai e tiver ou ate mesmo puder indicar o link agradeceria muito
Obrigado a todos pelo tempo.
Re: Mais seguranca no ssh?
cara, a questão é: esse processo rocambolesco todo adiciona MESMO seguranca? dependendo do tipo de exploit que possa ser utilizado para obter acesso root na máquina não vai fazer muita diferenca em quantos passos isto vai ser feito. se a idéia é evitar o acesso a máquina, procure saber sobre técnicas de port knocking e etc porque esse processo que vc descreveu PODE (depende da implementacao, tem que analisar o código pra saber) ser inerentemente inseguro. Se parte do processo consiste em fechar a conexão do ssh, por exemplo, o script pode estar execuando coisas como root.
Re: Mais seguranca no ssh?
a maior segunça.. eh manter o daemon do sshd, e o openssl atualizados..
e permitir conexoes ao ssh apenas de IPS fixos SEU...
Re: Mais seguranca no ssh?
trocar as portas do sshd não deixar o root autenticar isso é uma boa politica, esse programas que rodam quando inicializam até podem implementar uma camada diferencial de segurança mas efetivamente não são bloqueios.
Re: Mais seguranca no ssh?
Obrigado a todos.
Bem cada um tem uma opniao .
Consegui achar o artigo que estava procurando.
Eu sempre estou em locais onde tem ip dinamico (adsl, cabo e etc).
Eu particularmente achei show de bola a ideia do cara.
O link esta a baixo
obrigado a todos
http://listas.cipsga.org.br/pipermai...ry/001867.html