Configurao do servidor SSH

Fonte: http://www.hardware.com.br/tutoriais/dominando-ssh/pagina4.html

Voc pode configurar vrias opes relacionadas ao servidor SSH, incluindo a porta TCP a ser usada editando o arquivo "/etc/ssh/sshd_config". Assim como no caso da configurao do cliente, a maior parte das opes dentro do arquivo podem ser omitidas (pois o servidor simplesmente utiliza valores default para as opes que no constarem no arquivo), mas, de qualquer forma, saudvel especificar todas as opes que conhece: alm de evitar enganos, uma forma de praticar e memorizar as opes. Porta Uma das primeiras linhas a: Port 22 Esta a porta que ser usada pelo servidor SSH. O padro usar a porta 22. Ao mudar a porta do servidor aqui, voc dever usar a opo "-p" ao conectar a partir dos clientes para indicar a porta usada, como em: # ssh -p 2222 morimoto@gdhn.com.br Controle de acesso Logo abaixo, vem a opo "ListenAddress", que permite limitar o SSH a uma nica interface de rede (mesmo sem usar firewall), til em casos de micros com duas ou mais placas; o tpico caso em que voc quer que o SSH fique acessvel apenas na rede local, mas no na Internet, por exemplo. Digamos que o servidor use o endereo "192.168.0.1" na rede local e voc queira que o servidor SSH no fique disponvel na Internet. Voc adicionaria a linha: ListenAddress 192.168.0.1 Note que especificamos nesta opo o prprio IP do servidor na interface escolhida, no a faixa de IP's da rede local ou os endereos que tero acesso a ele. Protocolo Atualmente utilizamos o SSH 2, mas ainda existem alguns poucos clientes que utilizam a primeira verso do protocolo. Por padro, o servidor SSH aceita conexes de clientes que utilizam qualquer um dos dois protocolos, o que indicado na linha: Protocol 2,1 O protocolo SSH 1 tem alguns problemas fundamentais de segurana, por isso recomendvel desativar a compatibilidade com ele, aceitando apenas clientes que usam o SSH 2. Neste caso, a linha fica apenas: Protocol 2 Restringir a verso do protocolo ajuda a melhorar a segurana, pois evita que usurios utilizando clientes SSH antigos abram brechas para ataques. Existem, por exemplo, muitos clientes SSH para uso em celulares que suportam apenas o SSH 1 e utilizam algoritmos fracos de encriptao. Desativando a compatibilidade com o SSH 1 voc corta o mal pela raiz.

Configurao do servidor SSH Limitando ou permitindo Usurios e senhas Outra opo interessante, geralmente colocada logo abaixo, a: PermitRootLogin yes Esta opo determina se o servidor aceitar que usurios se loguem como root. Do ponto de vista da segurana, melhor deixar esta opo como "no", pois assim o usurio precisar primeiro se logar usando um login normal e rodar comandos como root usando o "sudo" ou "su -": PermitRootLogin no Dessa forma, preciso saber duas senhas, ao invs de saber apenas a senha do root, eliminando a possibilidade de algum atacante obstinado conseguir adivinhar a senha de root e, assim, obter acesso ao servidor. Por padro, o SSH permite que qualquer usurio cadastrado no sistema se logue remotamente, mas voc pode refinar isso atravs da opo "AllowUsers", que especifica uma lista de usurios que podem usar o SSH. Quem no estiver na lista, continua usando o sistema localmente, mas no consegue se logar via SSH. Isso evita que contas com senhas fracas, usadas por usurios que no tm necessidade de acessar o servidor remotamente coloquem a segurana do sistema em risco. Para permitir que apenas os usurios "joao" e "maria" possam usar o SSH, por exemplo, adicione a linha: AllowUsers joao maria Voc pode ainda inverter a lgica, usando a opo "DenyUsers". Neste caso, todos os usurios cadastrados no sistema podem fazer login, com exceo dos especificados na linha, como em: DenyUsers ricardo manuel Outra opo relacionada segurana a: PermitEmptyPasswords no Esta opo faz com que qualquer conta sem senha fique automaticamente desativada no SSH, evitando que algum consiga se conectar ao servidor "por acaso" ao descobrir a conta desprotegida. Lembre-se de que a senha justamente o ponto fraco do SSH. De nada adianta usar 2048 bits de encriptao se o usurio escreve a senha em um post-it colado no monitor, ou deixa a senha em branco. Banner Alguns servidores exibem mensagens de advertncia antes do prompt de login, avisando que todas as tentativas de acesso esto sendo monitoradas ou coisas do gnero. A mensagem especificada atravs da opo "Banner", onde voc indica um arquivo de texto com o contedo a ser mostrado, como em: Banner = /etc/ssh/banner.txt

Pgina 2/2