Uma boa opção seria permitir o acesso a ssh a máquina somente após fechar uma vpn e/ou usar certificados (onde o cliente necessitaria ter certificados que a máquina aceitasse).
2008/7/29 Eduardo Lemos de Sa <[EMAIL PROTECTED]>: > Damas e Cavalheiros > > O bloqueio do sshd pelo firewall deverá funcionar sem problemas. > Entretanto, se por alguma eventualidade, algum usuário em viagem (os do > grupo wheel são as maiores vítimas disto) necessitar acessar a máquina a > partir de uma não cadastrada no firewall, a sua tentativa será > infrutífera. > > Também sofro ataques constantes e diários por tentativas de conexão ssh, > então implantei a seguinte política de segurança: > > 1) o acesso via password é negado (funciona somente via passphrase), logo > um atacante (um nome bonito para alguém que não parece ter tão nobres > propósitos assim) não conseguirá acesso se ele não tiver uma chave > previamente instalada dentro da máquina atacada. Esta medida só será > inócua se antes deste bloqueio, o atacante tiver criado e instalado a sua > chava prevendo medidas retaliativas > > 2) no /etc/ssh/sshd_config (uso o openssh versão 5.01p, que é instalado a > partir do /usr/ports/security/openssh-portable) eu adiciono duas linhas: > > > AllowUsers user1 user2 user3 user4 .... > AllowGroups group1 group2 group3 ..... > > > onde o significado de user? e group? são óbvios. > > No meu caso, isto funciona perfeitamente bem e é fácil de configurar > porque eu tenho poucos usuários (os nós são para processamento > matemático). Caso a lista de usuários seja muito grande e se fique > trabalhoso configurá-la a cada acesso, você pode comentar a linha do > AllowUsers e deixar a linha do AllowGroups. Assim, cada vez que você > acrescentar um usuário novo à sua máquina, lembre-se de insiri-lo em um > grupo cadastrado no AllowGroups. > > As práticas 1 e 2 são bastante eficazes, embora a simples adoção de uma > delas já aumenta em muitas as dificuldades para um ataque bem sucedido. > > E, estava esquecendo_me: > > PermitRootLogin no > > > (permitir a conexão direta como root é suicídio se o sistema é vulnerável > à ataques) > > > Felicidades > > > Eduardo > > > > >> Guilherme, boa noite >> >> Você pode controlar o acesso com o ipfw, além disso, coloque o sshd >> rodando >> numa porta diferente da porta padrão 22. >> >> Exemplo de controle com o ipfw: >> >> ipfw table 1 flush >> ipfw table 1 add ip_confiavel1 >> ipfw table 1 add ip_confiavel2 >> ... >> >> ipfw add allow tcp from table\(1\) to me <porta_sshd> >> ipfw add allow tcp from me <porta_sshd> to table\(1\) >> ... >> ipfw add deny log tcp from any to me <porta_sshd> >> >> >> 2008/7/27 Guilherme Alves <[EMAIL PROTECTED]> >> >>> Olá amigos, boa noite. >>> >>> Observei no relatório que o root envia por e-mail sobre a relação de >>> acesso >>> negado ao tentar acessar o SSH (usuário ou senha inválidos). >>> Encontrei vários IP's e muitos usuários diferentes, no qual não obteve >>> sucesso. >>> Verifiquei e todos os IP's listados eram do exterior. >>> >>> Desde então, estou com receio de alguém tentar acessar o SSH de fora e >>> por >>> algum azar meu, a pessoa conseguir acessar com o usuário e senha >>> corretos. >>> Neste caso, o que vocês, caros amigos me indicaria? >>> >>> Existe a possibilidade de eu bloquear o acesso externo ao SSH e liberar >>> somente para algum ip específico? Por exemplo, só consegue acessar por >>> SSH >>> se for algum dos IP's que eu definir. >>> >>> Se existe essa forma, como faria isso? >>> Alguém poderia me auxiliar? >>> >>> Fico no aguardo de uma ajuda. >>> Boa noite. Obrigado! >>> >>> >>> Novos endereços, o Yahoo! que você conhece. Crie um email novo com >>> a >>> sua cara @ymail.com ou @rocketmail..com. >>> http://br.new.mail.yahoo.com/addresses >>> ------------------------- >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >> >> >> >> -- >> Best regards, >> >> BONIEK MORAIS >> Network/Systems Administrator >> Mail: [EMAIL PROTECTED] >> MSN: [EMAIL PROTECTED] >> Skype: boniek.morais >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > > -- > Eduardo Lemos de Sa > [EMAIL PROTECTED] > Professor Assoc. I - Departamento de Quimica > Universidade Federal do Parana > C. P. 19081 > 81531-990 Curitiba/PR - Brazil > Fone (41) 3361 3300 > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Daniel de Oliveira ---- Network and System Analyst Security Specialist IBM RISC Specialist IBM Storage Specialist Linux/Unix Specialist Linux User #: 405334 ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
