OpenSSH WWW.LINUXCLASS.COM.BR

Documentos relacionados
Protocolos Telnet e SSH. Professor Leonardo Larback

Conexão rápida entre dois computadores em uma plataforma Linux

Figura 2. Comunicação Cliente/Servidor do Protocolo SSH.

Brincando de Backup com rsync.

Acesso Re sso R moto

Linux System Administration 455

SSH Secure Shell Secure Shell SSH

FACULDADE DE TÉCNOLOGIA SENAC SEGURANÇA DA INFORMAÇÃO

SSH: Uma abordagem geral

FTP Protocolo de Transferência de Arquivos

Passo a passo para instalação de um Servidor SSH

Sistema Operacional Unidade 12 Comandos de Rede e Acesso Remoto

Criptografar Conexões da Rede

Brincando de Backup com rsync.

Sistema Operacional Unidade 13 Servidor Samba. QI ESCOLAS E FACULDADES Curso Técnico em Informática

GUIA INTEGRA SERVICES E STATUS MONITOR

Passo a Passo da instalação da VPN

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

Projeto e Instalação de Servidores Servidores Linux Aula 7 Samba, SSH e Backup

No Fedora, instalamos os pacotes "mysql" e "mysql-server", usando o yum:

Linux Network Servers

4º Semestre. Aula 15 Serviços Internet (FTP)

Atualizaça o do Maker

Como é o Funcionamento do LTSP

Manual de Instalação PIMSConnector em Linux

Procedimento para instalação do OMNE-Smartweb em Raio-X

Manual de Acesso a Servidores SSH

Inicialização rápida da instalação SUSE Linux Enterprise Server 11

MANUAL DO USUÁRIO. AssetView FDT. AssetView FDT

Inicialização rápida da instalação SUSE Linux Enterprise Server 11 SP1

Curso Firewall. Sobre o Curso de Firewall. Conteúdo do Curso

O projeto Metasploit é um framework que foi criado em 2003 por HD Moore e é uma plataforma que permite a verificação do estado da segurança dos

INDICE 1. INTRODUÇÃO CONFIGURAÇÃO MÍNIMA INSTALAÇÃO INTERLIGAÇÃO DO SISTEMA ALGUNS RECURSOS SERVIDOR BAM...

Documentação Symom. Agente de Monitoração na Plataforma Windows

ADMINISTRAÇÃO DE SISTEMAS OPERACIONAIS SERVIÇOS DE ACESSO REMOTO (TELNET E TERMINAL SERVICES) Professor Carlos Muniz

Procedimentos para Configuração de Redirecionamento de Portas

Universidade da Beira Interior

Rotina de Discovery e Inventário

EVILÁCIO RODRIGUES VIEIRA JUNIOR CONSTRUÇÃO DE REDE VPN ATRAVÉS DA FERRAMENTA OPENVPN

CONFIGURAÇÃO DE REDE SISTEMA IDEAGRI - FAQ CONCEITOS GERAIS

SISTEMAS OPERACIONAIS LIVRES GERENCIAMENTO DE SERVIÇOS NO WINDOWS. Professor Carlos Muniz

Administração de Sistemas

ALTERNATIVA PARA CONEXÃO VIA INTERNET DE IP MASCARADO A IP REAL

Capítulo 5 Métodos de Defesa

Gerência de Segurança

Instalando o Debian em modo texto

SOFTWARE LIVRE. Distribuições Live CD. Kernel. Distribuição Linux

NetEye Guia de Instalação

Instalando software MÉDICO Online no servidor

Configuração do Linux Educacional 5 para melhor uso do MonitorINFO-V4

UM PBX GENUINAMENTE BRASILEIRO

Instalação do Linux Educacional 3.0 Bancadas SED

TUTORIAL: MANTENDO O BANCO DE DADOS DE SEU SITE DENTRO DO DOMÍNIO DA USP USANDO O SSH!

Manual de Configuração do Alferes 7

Procedimentos para Reinstalação do Sisloc

ADMINISTRAÇÃO DE SISTEMAS OPERACIONAIS SERVIÇOS IMPRESSÃO. Professor Carlos Muniz

INTRODUÇÃO: 1 - Conectando na sua conta

Configuração de um servidor FTP. Campus Cachoeiro Curso Técnico em Informática

Introdução ao Sistema. Características

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

TeamViewer 9 Manual Wake-on-LAN

Sistemas de Informação Processamento de Dados

Manual de Instalação PIMSConnector em Windows

AULA 7: Remote Desktop

GUIA DE CONFIGURAÇÃO CONEXÕES VPN SSL (CLIENT TO SERVER)

Atualizaça o do Playlist Digital

Introdução a Informática - 1º semestre AULA 02 Prof. André Moraes

Gerenciando Pacotes *.deb

Manual de Instalação. SafeSign Standard (Para MAC OS 10.7)

Entendendo como funciona o NAT

Roteiro 3: Sistemas Linux arquivos e diretórios

possível até impedir o funcionamento do Windows. Faz-scuidado redobrado ao ativar determinados recursos.

FTIN Formação Técnica em Informática Módulo de Administração de Servidores de Rede AULA 03. Prof. Gabriel Silva

Para testar se as variáveis foram carregadas, utilize o comando #export

18/05/2014. Problemas atuais com o IPv4

UM PBX GENUINAMENTE BRASILEIRO MANUAL DE INSTALAÇÃO COM IMAGEM ISO

Instalação Mesa Virtual 2.0 Impacta

Trabalhando com NAT no PFSense

Manual cliente o-vpn Linux

Acesso Remoto Placas de captura

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

FACULDADE DE TECNOLOGIA SENAC PELOTAS CURSO TÉCNICO EM INFORMÁTICA PRONATEC PROFESSOR: NATANIEL VIEIRA ALUNOS: ANA CAROLINA, ROMÁRIO, WAGNER.

Configurando um Grupo Doméstico e Compartilhando arquivos no Windows 7

Satélite. Manual de instalação e configuração. CENPECT Informática cenpect@cenpect.com.br

Instalação: permite baixar o pacote de instalação do agente de coleta do sistema.

Ferramentas de Acesso Remoto

Manual Captura S_Line

Conheça os principais comandos do Prompt do Windows; veja lista

Curso de Instalação e Gestão de Redes Informáticas

Transcrição:

OpenSSH WWW.LINUXCLASS.COM.BR

OpenSSH: Introdução: O projeto OpenSSH veio para substituir antigos métodos inseguros de comunicação e autenticação, podemos dizer que o OpenSSH é um substituto direto do rlogin, rsh e telnet. O OpenSSH também incorpora características próprias e novas funções extremamente úteis nos dias atuais fazendo o uso das rotinas e bibliotecas do OpenSSL que é pré-requisito obrigatório. A autenticação segura, execução de comandos remota segura e login shell remoto seguro são as principais utilidades do popular chamado SSH. Existem diversas formas de autenticação disponíveis, podemos estabelecer listas de acesso (acls), criar padrões de senhas fortes e até a autenticação automática por meio de chaves públicas criptografadas RSA ou DSA, método extremamente útil para ser usado em shell scripts ou em eventos de manutenções automatizados. TCP port forward: TCP port forward é um poderoso recurso do SSH que muitos administradores ainda não fazem uso. O usuário root pode arbitrariamente fazer TCP port forwarding para qualquer porta/socket, isto é, criar um túnel criptografado onde qualquer aplicação ou protocolo possa trafegar. Veja o exemplo: 148

No exemplo sugerido foi criado um túnel na maquina local (node2) na porta 1234 que esta conectado a maquina (node1) (10.0.0.200) na porta 23. Para testar o túnel foi utilizado o aplicativo cliente de telnet que esta conectando localmente na porta 1234 porém todo e qualquer tráfego nesta porta esta sendo re-direcionado para a máquina 10.0.0.200 na porta 23 onde existe um servidor de telnet a espera de conexões. Outra possível utilização do TCP forward é estabelecer conexões através de firewalls que bloqueiam justamente as portas dos protocolos que você necessita utilizar. X Forward: Chamamos de X Forwarding quando o SSH redireciona pelo túnel criptografado a conexão ao servidor X da máquina remota para o servidor X da máquina local, desta forma, as aplicações ou programas gráficos executados pelo shell remoto irão ser mostradas no display local. Não é necessário que o servidor X da máquina remota esteja rodando. A seguir visualize o screenshot que demonstra a utilização do X forwarding. Você chama a capacidade de X-Forwarding através dos seguintes parâmetros, veja os exemplos: ssh -X 10.0.0.200 (Faz o uso das extensões de restrição de segurança do X11) ssh -Y 10.0.0.200 (Não faz o uso das extensões de segurança do X11, chamado também de X11 Forward confiado pois assume-se que ambos cliente e servidor são seguros) 149

Instalando Pacotes/Softwares Necessários: Em quase todas as distribuições de Linux, todos os pacotes já estarão instalados, pois o OpenSSH é considerado um software padrão e versátil de manutenção em sistemas Linux/Unix. Veja abaixo os pacotes necessários e suas descrições: openssh Pacote principal que provê capacidades core para ambos, ssh-cliente e ssh-servidor. openssl Bibliotecas e rotinas de criptografia e ferramentas para gerar chaves e certificados. openssh-clients Este pacote provê os programas clientes necessários para utilização do OpenSSH. openssh-server Este pacote provê o daemon sshd necessário para disponibilizar o acesso remoto de seu sistema. openssh-askpass Este pacote provê a capacidade de dialogo X11 do passphrase para o OpenSSH. 150

Configuração do Serviço: Veremos agora a configuração do OpenSSH servidor (sshd), os arquivos de configuração de ambos OpenSSH Servidor e OpenSSH Cliente podem ser localizados em /etc/ssh. O principal arquivo de configuração do Servidor esta localizado em /etc/ssh/sshd_config. Veja abaixo as principais opções de configuração deste arquivo: AllowUsers Este parâmetro é a forma mais simples de especificar arbitrariamente uma lista de usuários (acls) permitidos a utilizar o sshd. Por padrão o sshd permite todos os usuários. PasswordAuthentication Especifica se é permitido ou não o login utilizando passwords. O padrão é permitido. O mais comum aqui é quando mudar este parâmetro para impedir o login através de senhas é criar as chaves publicas e privadas para garantir seu acesso. PermitRootLogin Este parâmetro controla o acesso ao super-usuário no sshd. Os possíveis valores deste parâmetro são: yes valor padrão, without-password bloqueia a autenticação do superusuário por password. forced-commands-only Aceita autenticação do super usuário por chave publica somente se especificado algum comando (esta opção é útil para a execução de algum comando no sistema remoto pois não permite o login shell) e no desliga o acesso do superusuário. Protocol Especifica as versões de protocolo suportadas pelo sshd. Lembrando que é fortemente aconselhável permitir somente o protocolo versão SSH2. O protocolo versão SSH1 ainda existe apenas para manter compatibilidade com sistemas muito antigos. Port Especifica a porta que o sshd irá aguardar por conexões. X11Forwarding Os possíveis valores são yes ou no, este parâmetro controla o redirecionamento das conexões ao servidor X. O valor padrão padrão é yes. PermitTunnel Este parâmetro controla o comportamento do dispositivo TUN utilizado para estabelecer VPN. O valor padrão é desligado no. Arquivos de configuração envolvidos: /etc/ssh/* /etc/ssh/sshd_config 151

Gerando chaves públicas e privadas: Para gerar o par de chaves na implementação de autenticação automática siga os passos abaixo: CHAVE PÚBLICA Servidor /.ssh/authorized_keys CHAVE PRIVADA Cliente /.ssh/id_rsa O caracter significa o path do diretório home do usuário corrente no sistema 1. No diretório home do usuário execute o comando: ssh-keygen 2. Tecle ENTER para aceitar o valor padrão para o nome da chave pública 3. Tecle ENTER para ignorar a utilização de passphrase 4. Tecle ENTER novamente para confirmar a não utilização do passphrase 5. Execute o comando: cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys Nota: Quando especificado algum passphrase esta senha frase será utilizada para encriptar a chave privada do usuário com um algoritmo 3DES. Sempre que for utilizada a chave privada terá que ser fornecido o passphrase para decriptar a chave antes de seu uso. Isso pode gerar alguns problemas para programas que iniciam automaticamente em tempo de boot causando o travamento do sistema a espera da senha. Nota: O arquivo ~/.ssh/authorized_keys guarda a lista das chaves públicas permitidas no servidor. É possível adicionar mais chaves públicas a esse mesmo arquivo apenas concatenando seu conteúdo. Autenticação baseada em hosts (TCP-WRAPPERS): O sshd foi compilado com suporte a biblioteca libwrap.so, desta forma é possível fazer uso dos arquivos /etc/hosts.allow e /etc/hosts.deny em ordem a implementar a autenticação baseada em hosts, isto é, em números IPs ou nomes de maquinas e domínios. Para configurar o acesso ao sshd através dos tcp-wrappers siga o exemplo abaixo, lembrando que por padrão ou omissão o acesso é sempre liberado. sshd: <IPs ou nomes de máquinas/domínios permitidos ou bloqueados> Exemplo: /etc/hosts.allow sshd: 192.168.200. /etc/hosts.deny sshd: ALL No exemplo acima é liberado o acesso ao serviço SSH apenas para o grupo de máquina dentro da rede 192.168.200.0, para todos os outros hosts inclusive o próprio localhost será bloqueado o acesso ao servidor de sshd. Use este tipo de autenticação com cautela. 152

Ativando o Serviço na Inicialização do Sistema: chkconfig sshd on ; service sshd start Para verificar se o daemon esta sendo executado, use: service sshd status ou ps -aux grep sshd A verificação das portas/sockets abertos pelo sshd (porta 22) se dá através do comando: netstat -al grep ssh Documentação disponível no sistema: man ssh man sshd_config /usr/share/doc/openssh* 153

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback