Professional Documents
Culture Documents
Protegendo o SSH
O SSH fornece a o usuário uma conexão com um computador remoto. Como uma
substituição ao Remote Shell (RSH) e ao Telnet, o SSH é comumente utilizado pelos
administradores de sistema para efetuar login em seus servidores a partir de um
computador remoto para executar tarefas de manutenção e administração. Embora o
SSH forneça um nível muito maior de segurança do que os protocolos que substituiu, há
algumas coisas que podem ser feitas para torná-lo mais seguro.
Um dos métodos mais comuns para proteger o SSH é alterar o número da porta que é
utilizada para acessá-lo. A teoria é que um hacker utilizando a porta padrão ou TCP 22
para estabelecer uma conexão terá o acesso negado porque o serviço está em execução
em uma porta segura.
Alterar o número da porta não evita que a porta do SSH seja localizada por um hacker
com um scanner de porta que tenha tempo de varrer todas as portas no servidor; e por
este motivo, muitos administradores de sistema não se dão ao trabalho de alterar a porta.
Mas esta abordagem evita que script kiddies (hackers amadores) ataquem o SSH sem
ferramentas automatizadas dedicadas a localizar portas TCP 22 abertas e hackers
impacientes podem cansar de varrer seu servidor se não localizarem o SSH em execução
no primeiro intervalo de portas que varrerem.
# cp /etc/ssh/sshd_config /etc/ssh/backup.sshd_config
# vi /etc/ssh/sshd_config
Verificando o protocolo
No diretório /etc/ssh/sshd_config, efetuar a verificação da linha que começa
com Protocol. Certificando-se de que esteja configurado para 2 e não 1.
Protocol 2
Desativar Root
Em vez de utilizar login como root, deve-se usar a conexão como usuário com
permissão sudo. Certificando-se de ter o sudo configurado corretamente antes de
continuar. Então, desativando a permissão do root para efetuar login usando o
SSH. Dentro do arquivo de configuração:
PermitRootLogin yes
PermitRootLogin no
Permissão de usuários
Pode-se limitar os usuários que têm permissão para efetuar login no SSH. E através do
comando AllowUser, somente usuários listados serão permitidos. Todos os outros
serão negados. Digamos que se queira permitir que o usuário aluno efetue login
remotamente por meio do SSH. Será adicionada a linha:
AllowUsers aluno
Alterando portas
Normalmente, o SSH é executado na porta 22. Em teoria, a maioria dos kiddies de script
são direcionados a essa porta, e alterando-a, pode haver diminuição dos ataques. No
arquivo de configuração:
Port 22
Port 2222
Desativar autenticação de senha
Tendo chaves SSH funcionando, pode-se apenas desativar toda a autenticação de senha.
PasswordAuthentication yes
PasswordAuthentication no
Fail2Ban
Este é um ótimo programa que pode verificar logs e banir temporariamente os IPs com
base em possíveis atividades maliciosas. Requerindo instalar o Fail2ban.
# cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
[sshd]
enabled = true
port = ssh
logpath =% (sshd_log) s
Esse requisito se aplica ao servidor local DHCP e ao de transmissão DHCP, mas se aplica
somente quando o DHCP é fornecido pelo processo jdhcpd.
Os pacotes DHCP recebidos nas placas de linha são encapsulados pelo jdhcpd com um
novo cabeçalho UDP, em que seus endereços de origem e de destino são definidos para
a porta 68 antes de serem encaminhados para o mecanismo de roteamento.
Para o DHCP relay e o proxy DHCP, os pacotes enviados ao servidor DHCP pelo roteador
têm as portas UDP de origem e de destino definidas como 67. O servidor DHCP responde
usando as mesmas portas. No entanto, quando a placa de linha recebe esses pacotes de
resposta DHCP, ele altera ambos os números de porta de 67 para 68 antes de passar os
pacotes para o mecanismo de roteamento. Consequentemente, o filtro precisa aceitar a
porta 67 para os pacotes retransmitidos do cliente para o servidor e a porta 68 para os
pacotes retransmitidos do servidor para o cliente.
Não incluir a porta 67 e a porta 68 conforme descrito aqui resulta na maioria dos pacotes
DHCP não sendo aceitos.