Ol�, > � seguro deixar o servidor openssh e sua respectiva porta 22 > "ouvindo" na internet, para fazermos manuten��o � dist�ncia?
Esse � um grande dilema. Com certeza n�o � nada seguro, assim como qualquer outro servi�o, por�m, voc� pode encontrar formas de minimizar: 1 - Mude a porta default - Com isso voc� minimiza o perigo de um ataque automatizado, ou ataques de script kiddies que n�o sabem mudar a porta do ssh no exploit que baixaram da internet. 2 - N�o aceite login root - Minimiza o problema de alguem que 'descobriu' a senha do root, logar de 'casa' depois - Tentativas por for�a bruta, um dia quem sabe encontra sua senha e ja acessa com poderes de root. 3 - S� aceite login via SSH de um determinado usu�rio - Em conjunto com a op��o 2, s� o seu usu�rio teria acesso via SSH, e depois do login, voc� poderia efetuar um 'su -'. - Utilize algum programa p�s-login para efetuar um 'challenge' para certificar de que voc� � voc� mesmo. 4 - Senhas fortes - sem isso n�o adianta nada. 5 - Certifique-se de o sshd estar rodando com separa��o de privilegios - Dessa forma, o sshd cria um processo n�o privilegiado para tratar as conex�es iniciais. Ap�s sucesso na autentica��o, cria um outro processo que tem os provilegios necess�rios. - Caso exista algum exploit para o sshd, talvez ele fique preso no processo sem privilegios. Outra forma seria desabilitar a autentica��o por senha e habilitar a autentica��o por certificado. > Faz sentido manter uma VPN "tulenando" apenas o openssh > no lugar de deixar esta porta aberta diretamente ? Se voc� puder ter uma VPN entre as 2 pontas, melhor. Da� voc� s� daria acesso ao SSH atrav�s da vpn. Abra�os! Alejandro Flores --------------------------------------------------------------------------- Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utiliza��o da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
