Re: [FUG-BR] Gravar Tudo feito no console
man script e audit -- Daniel Bristot de Oliveira - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Gravar Tudo feito no console
Bom dia Diotto, Cara, a solução mais simples e efetiva eh o firewall Ou voce coloca uma mákina só pra firewall antes desse servidor ssh... ou na própria mákina. PFSense ou Iptables. Voce deixa um drop full e depois vai liberando para as "determinadas pessoas"... =) [1]ERICO OLIVEIRA DA SILVA Dep. Network - Analista de Suporte ( +55 14 3324-1200 (Ourinhos/SP) 2 +55 14 3335-2863 * [2]er...@devel-it.com.br [3]IVOZ.NET: 1029 [4]Devel-IT & [5]Devel-IT.ORG 'Essa mensagem é destinada exclusivamente ao seu destinatário e pode conter informações confidenciais, protegidas por sigilo profissional ou cuja divulgação seja proibida por lei. O uso não autorizado de tais informações está sujeito às penalidades cabíveis.' 'This message is intended exclusively for its addressee and may contain information that is confidential, protected by a professional privilege or which disclosure is prohibited by law. Unauthorized use of such information is prohibited and subject to applicable penalties.' P Antes de imprimir pense em seu compromisso com o Meio Ambiente. Marcelo Diotto wrote: Pessoal, Criei um servidor ssh que será visivel de fora da empresa, o objetivo é que determinadas pessoas possam acessar este pc via ssh e, a partir dele, outros pcs dentro da empresa. Minha preocupação é com relação à segurança, a primeira coisa que pensei é que seria interessante que fosse gravado em um arquivo de log tudo que foi digitado pelos usuários, existe essa possibilidade? Alguém tem mais alguma sugestão de segurança? Obrigado Marcelo - Histórico: [6]http://www.fug.com.br/historico/html/freebsd/ Sair da lista: [7]https://www.fug.com.br/mailman/listinfo/freebsd References 1. mailto:er...@devel-it.com.br 2. mailto:er...@devel-it.com.br 3. http://www.ivoz.net/ 4. http://www.devel-it.com.br/ 5. http://www.devel-it.org/ 6. http://www.fug.com.br/historico/html/freebsd/ 7. https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Gravar Tudo feito no console
2009/3/13 Marcelo Diotto > Pessoal, >Criei um servidor ssh que será visivel de fora da empresa, o objetivo é > que determinadas pessoas possam acessar este pc via ssh e, a partir dele, > outros pcs dentro da empresa. >Minha preocupação é com relação à segurança, a primeira coisa que pensei > é que seria interessante que fosse gravado em um arquivo de log tudo que > foi > digitado pelos usuários, existe essa possibilidade? >Alguém tem mais alguma sugestão de segurança? > Obrigado > Marcelo > > Dar acesso a terminal nunca é uma atitude segura e registrar tudo será bastante cansativo, acredite. As regras são as seguintes: 1 - Instale o mínimo que puder 2 - Exclua tudo o que puder 3 - Se não puder excluir, restrinja 4 - Se não puder restringir, registre 5 - Se não puder registrar, evite. Seria interessante você explicar quem são essas "determinadas pessoas", se são de confiança (parece que não) e o que serviços elas precisam acessar nos outros pcs para poder pensar em outra solução como openvpn por exemplo. Uma idéia é criar uma jail "amputada", ou seja, que só possua comandos que seguramente podem ser executados, se o cara só tiver o bash fica tudo registrado no bash_history, mas não pode deixar ele trocar de shell, senão já era. Abraços. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Gravar Tudo feito no console
o cara só que auditar simples... o saudade ... -- Daniel Bristot de Oliveira - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Gravar Tudo feito no console
Bomm se a vontade é capturar tudo q se passa no shell experimenta o "uberkey" ([1]http://freshmeat.net/projects/uberkey/) Keylogger que captura todas as teclas digitadas... xD Att [2]ERICO OLIVEIRA DA SILVA Dep. Network - Analista de Suporte ( +55 14 3324-1200 (Ourinhos/SP) 2 +55 14 3335-2863 * [3]er...@devel-it.com.br [4]IVOZ.NET: 1029 [5]Devel-IT & [6]Devel-IT.ORG 'Essa mensagem é destinada exclusivamente ao seu destinatário e pode conter informações confidenciais, protegidas por sigilo profissional ou cuja divulgação seja proibida por lei. O uso não autorizado de tais informações está sujeito às penalidades cabíveis.' 'This message is intended exclusively for its addressee and may contain information that is confidential, protected by a professional privilege or which disclosure is prohibited by law. Unauthorized use of such information is prohibited and subject to applicable penalties.' P Antes de imprimir pense em seu compromisso com o Meio Ambiente. Cleyton Agapito wrote: 2009/3/13 Marcelo Diotto [7] Pessoal, Criei um servidor ssh que será visivel de fora da empresa, o objetivo é que determinadas pessoas possam acessar este pc via ssh e, a partir dele, outros pcs dentro da empresa. Minha preocupação é com relação à segurança, a primeira coisa que pensei é que seria interessante que fosse gravado em um arquivo de log tudo que foi digitado pelos usuários, existe essa possibilidade? Alguém tem mais alguma sugestão de segurança? Obrigado Marcelo Dar acesso a terminal nunca é uma atitude segura e registrar tudo será bastante cansativo, acredite. As regras são as seguintes: 1 - Instale o mínimo que puder 2 - Exclua tudo o que puder 3 - Se não puder excluir, restrinja 4 - Se não puder restringir, registre 5 - Se não puder registrar, evite. Seria interessante você explicar quem são essas "determinadas pessoas", se são de confiança (parece que não) e o que serviços elas precisam acessar nos outros pcs para poder pensar em outra solução como openvpn por exemplo. Uma idéia é criar uma jail "amputada", ou seja, que só possua comandos que seguramente podem ser executados, se o cara só tiver o bash fica tudo registrado no bash_history, mas não pode deixar ele trocar de shell, senão já era. Abraços. - Histórico: [8]http://www.fug.com.br/historico/html/freebsd/ Sair da lista: [9]https://www.fug.com.br/mailman/listinfo/freebsd References 1. http://freshmeat.net/projects/uberkey/ 2. mailto:er...@devel-it.com.br 3. mailto:er...@devel-it.com.br 4. http://www.ivoz.net/ 5. http://www.devel-it.com.br/ 6. http://www.devel-it.org/ 7. mailto:dio...@gmail.com 8. http://www.fug.com.br/historico/html/freebsd/ 9. https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Gravar Tudo feito no console
Erico - Devel-IT escreveu: >Bomm > se a vontade é capturar tudo q se passa no shell experimenta o >"uberkey" ([1]http://freshmeat.net/projects/uberkey/) > Keylogger que captura todas as teclas digitadas... xD > Att > Bom dia Erico, favor ajustar as mensagens como pede o listinfo da FUG-BR [1]. na sessão nro 9. Abraço, [1]. https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Gravar Tudo feito no console
2009/3/13 Daniel Bristot de Oliveira > o cara só que auditar simples... > > Bom talvez eu tenha entendido errado, mas se endenti certo volto a frisar: "determinadas pessoas possam acessar este pc via ssh", "Alguém tem mais alguma sugestão de segurança?". A minha sujestão é, não dê acesso a shell a pessoas não confiáveis, principalmente para através dele ter acesso a outros recursos de rede. Abraços. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Gravar Tudo feito no console
Pessoal, Obrigado pelas respostas. É o seguinte, esta máquina está embaixo de meu firewall, vou permitir somente conexão ssh para ela e mais nada. Instalei o FreeBSD 7.1, ele está vazio, sem nenhum software adicional instalado. Os usuários que acessarão ela são alguns professores (trabalho em uma Universidade) e será necessário um cadastro prévio para ter acesso ao PC, portanto o usuário de ssh não será o mesmo do meu banco OpenLDAP (onde autentico as estações linux e windows). O objetivo desta máquina é que os professores possam através deste servidor ssh acessar seus próprios PCs pessoais (também via ssh). Como este servidor ssh está na mesma subrede que os outros pcs não tem como eu bloquear nada mais no meu firewall (definindo quais máquinas o servidor ssh poderá acessar), mas o que estou pensando é em fazer um bloqueio nesta própria máquina, cadastrando os ips para onde este pc possa fazer conexão. Mais alguma sugestão? Valeu! Abraços Marcelo 2009/3/13 Cleyton Agapito > 2009/3/13 Daniel Bristot de Oliveira > > > o cara só que auditar simples... > > > > > Bom talvez eu tenha entendido errado, mas se endenti certo volto a frisar: > > "determinadas pessoas possam acessar este pc via ssh", "Alguém tem mais > alguma sugestão de segurança?". A minha sujestão é, não dê acesso a shell a > pessoas não confiáveis, principalmente para através dele ter acesso a > outros > recursos de rede. > > Abraços. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Gravar Tudo feito no console
2009/3/13 Marcelo Diotto : > Pessoal, Obrigado pelas respostas. > É o seguinte, esta máquina está embaixo de meu firewall, vou permitir > somente conexão ssh para ela e mais nada. Instalei o FreeBSD 7.1, ele está > vazio, sem nenhum software adicional instalado. > Os usuários que acessarão ela são alguns professores (trabalho em uma > Universidade) e será necessário um cadastro prévio para ter acesso ao PC, > portanto o usuário de ssh não será o mesmo do meu banco OpenLDAP (onde > autentico as estações linux e windows). > O objetivo desta máquina é que os professores possam através deste > servidor ssh acessar seus próprios PCs pessoais (também via ssh). > Como este servidor ssh está na mesma subrede que os outros pcs não tem > como eu bloquear nada mais no meu firewall (definindo quais máquinas o > servidor ssh poderá acessar), mas o que estou pensando é em fazer um > bloqueio nesta própria máquina, cadastrando os ips para onde este pc possa > fazer conexão. > Mais alguma sugestão? Virtualize ou use jail. > Valeu! > Abraços > Marcelo > > 2009/3/13 Cleyton Agapito > >> 2009/3/13 Daniel Bristot de Oliveira >> >> > o cara só que auditar simples... >> > >> > >> Bom talvez eu tenha entendido errado, mas se endenti certo volto a frisar: >> >> "determinadas pessoas possam acessar este pc via ssh", "Alguém tem mais >> alguma sugestão de segurança?". A minha sujestão é, não dê acesso a shell a >> pessoas não confiáveis, principalmente para através dele ter acesso a >> outros >> recursos de rede. >> >> Abraços. >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- --- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Gravar Tudo feito no console
2009/3/13 Marcelo Diotto > Pessoal, Obrigado pelas respostas. > É o seguinte, esta máquina está embaixo de meu firewall, vou permitir > somente conexão ssh para ela e mais nada. Instalei o FreeBSD 7.1, ele está > vazio, sem nenhum software adicional instalado. > Os usuários que acessarão ela são alguns professores (trabalho em uma > Universidade) e será necessário um cadastro prévio para ter acesso ao PC, > portanto o usuário de ssh não será o mesmo do meu banco OpenLDAP (onde > autentico as estações linux e windows). >O objetivo desta máquina é que os professores possam através deste > servidor ssh acessar seus próprios PCs pessoais (também via ssh). >Como este servidor ssh está na mesma subrede que os outros pcs não tem > como eu bloquear nada mais no meu firewall (definindo quais máquinas o > servidor ssh poderá acessar), mas o que estou pensando é em fazer um > bloqueio nesta própria máquina, cadastrando os ips para onde este pc possa > fazer conexão. >Mais alguma sugestão? >Valeu! > Abraços > Marcelo > > Eu acho que ficaria melhor criar uma vpn pra dentro da rede e o cara loga no ssh direto na máquina dele com a senha dele, sei lá, só uma sujestão, acho mais seguro que dar acesso direto. A jail fica legal pra não misturar as bases de senhas e isolar o ambiente. Você poderia também usar chaves públicas com senha pra certificar a origem e evitar que o cara possa se logar direto no terminal (não sei se isso é importante) Abraços. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Gravar Tudo feito no console
2009/3/13 Marcelo Diotto > Pessoal, >Criei um servidor ssh que será visivel de fora da empresa, o objetivo é > que determinadas pessoas possam acessar este pc via ssh e, a partir dele, > outros pcs dentro da empresa. >Minha preocupação é com relação à segurança, a primeira coisa que pensei > é que seria interessante que fosse gravado em um arquivo de log tudo que > foi > digitado pelos usuários, existe essa possibilidade? A captura da sessão pode ser feita em vários níveis: pelo firewall (uma bridge transparente?), pela sessão (screen?) ou talvez com algum módulo de segurança integrado ao kernel -- que impeça o usuário de matar o processo, caso ele escale para superusuário. Depende do nível de segurança que você quer implementar e da complexidade do ambiente que queira oferecer. > >Alguém tem mais alguma sugestão de segurança? Uma coisa que pode ser feita, e que parece bobeira é mudar a porta do SSH. Se você puser na 22 e usar uma senha fraca, pode ter CERTEZA que alguém além do usuário desejado vai entrar. Outra coisa, se você quiser ir mais além é usar "port knocking", procure no google sobre isso pra ver se te interessa. Para descer a níveis ainda mais baixos, sugeriria o snapshot de uma raiz (uso lvm no Linux) pré-pronta oferecida via jailing ou virtualização. > Obrigado > Marcelo > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Eduardo Costa Lisboa - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Gravar Tudo feito no console
Dentro do sistema, crie um shell script que pergunte o nome do usuario, senha, host de conexão e porta em que o ssh client deve se conectar. Já no login, "prenda" o usuário a executação apenas deste sh de forma a ocasionar logout na interrupção dele. Use as outras ferramentas já ditas anteriormente como audit para maior supervisão. 2009/3/14 Eduardo Costa Lisboa : > 2009/3/13 Marcelo Diotto > >> Pessoal, >> Criei um servidor ssh que será visivel de fora da empresa, o objetivo é >> que determinadas pessoas possam acessar este pc via ssh e, a partir dele, >> outros pcs dentro da empresa. > > >> Minha preocupação é com relação à segurança, a primeira coisa que pensei >> é que seria interessante que fosse gravado em um arquivo de log tudo que >> foi >> digitado pelos usuários, existe essa possibilidade? > > > A captura da sessão pode ser feita em vários níveis: pelo firewall (uma > bridge transparente?), pela sessão (screen?) ou talvez com algum módulo de > segurança integrado ao kernel -- que impeça o usuário de matar o processo, > caso ele escale para superusuário. > > Depende do nível de segurança que você quer implementar e da complexidade do > ambiente que queira oferecer. > >> >> Alguém tem mais alguma sugestão de segurança? > > > Uma coisa que pode ser feita, e que parece bobeira é mudar a porta do SSH. > Se você puser na 22 e usar uma senha fraca, pode ter CERTEZA que alguém além > do usuário desejado vai entrar. > > Outra coisa, se você quiser ir mais além é usar "port knocking", procure no > google sobre isso pra ver se te interessa. > > Para descer a níveis ainda mais baixos, sugeriria o snapshot de uma raiz > (uso lvm no Linux) pré-pronta oferecida via jailing ou virtualização. > > > > >> Obrigado >> Marcelo >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > > > -- > Eduardo Costa Lisboa > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Gravar Tudo feito no console
Olá, A ver se percebi a questão: "Esse servidor ssh serve apenas de "stargate" :) para outras máquinas na rede local? Se sim, tenho cenários desses e resolvi a questão com: http://www.freebsd.org/cgi/url.cgi?ports/shells/ibsh/pkg-descr no conf do ibsh defines apenas o que autorizas o user a correr et voi lá. tipo ssh, para poder fazer login para as outras maquinas exit, por razoes obvias passwd, caso queiram mudar de pass e pronto nem um simples ls lhes dou. Bem, se não for isto que pretendes então audit nisso e espera que os logs não te matem a máquina. Abraços amigos, Francisco PS: primeiro post nesta ml :P 2009/3/18 josias gonçalves : > Dentro do sistema, crie um shell script que pergunte o nome do > usuario, senha, host de conexão e porta em que o ssh client deve se > conectar. Já no login, "prenda" o usuário a executação apenas deste sh > de forma a ocasionar logout na interrupção dele. Use as outras > ferramentas já ditas anteriormente como audit para maior supervisão. > > 2009/3/14 Eduardo Costa Lisboa : >> 2009/3/13 Marcelo Diotto >> >>> Pessoal, >>> Criei um servidor ssh que será visivel de fora da empresa, o objetivo é >>> que determinadas pessoas possam acessar este pc via ssh e, a partir dele, >>> outros pcs dentro da empresa. >> >> >>> Minha preocupação é com relação à segurança, a primeira coisa que pensei >>> é que seria interessante que fosse gravado em um arquivo de log tudo que >>> foi >>> digitado pelos usuários, existe essa possibilidade? >> >> >> A captura da sessão pode ser feita em vários níveis: pelo firewall (uma >> bridge transparente?), pela sessão (screen?) ou talvez com algum módulo de >> segurança integrado ao kernel -- que impeça o usuário de matar o processo, >> caso ele escale para superusuário. >> >> Depende do nível de segurança que você quer implementar e da complexidade do >> ambiente que queira oferecer. >> >>> >>> Alguém tem mais alguma sugestão de segurança? >> >> >> Uma coisa que pode ser feita, e que parece bobeira é mudar a porta do SSH. >> Se você puser na 22 e usar uma senha fraca, pode ter CERTEZA que alguém além >> do usuário desejado vai entrar. >> >> Outra coisa, se você quiser ir mais além é usar "port knocking", procure no >> google sobre isso pra ver se te interessa. >> >> Para descer a níveis ainda mais baixos, sugeriria o snapshot de uma raiz >> (uso lvm no Linux) pré-pronta oferecida via jailing ou virtualização. >> >> >> >> >>> Obrigado >>> Marcelo >>> - >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >> >> >> >> -- >> Eduardo Costa Lisboa >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- blog: http://sufixo.com/raw http://www.linkedin.com/in/franciscocabrita - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
