Sys Admin (ep. 02, parte 5) - SSH (conexão a apenas um ou vários endereços IP)

Para aumentar a segurança e o controlo sobre ligações SSH num servidor com várias interfaces de rede, pode-se configurar o serviço (Daemon SSH - sshd) para conectar-se apenas a alguns endereços IP específicos ou apenas 1, ao invés de permitir que o serviço fique  disponível para todas interfaces da rede. Esta medida de segurança pode ser alcançada modificando o ficheiro de configuração SSH (/etc/ssh/sshd_config) usando a directiva ListenAddress.
Ao especificar um endereço IP, restringe-se o acesso SSH exclusivamente a esse endereço, reduzindo a superfície de ataque e impedindo tentativas de acesso não autorizadas de outras interfaces de rede. Isto é particularmente útil em ambientes onde o servidor hospeda serviços públicos e privados, permitindo que administradores isolem o tráfego de gestão SSH para uma rede interna segura.

 

Vejamos as interfaces na nossa maquina.  Pela saída obtida conseguimos ver duas interfaces ethernet, ens33 e ens35, cada uma com seu endereço IP. 

 

Vamos agora modificar o ficheiro de configuração do serviço SSH:

De #ListenAddress 0.0.0.0

Para ListenAddress 192.168.35.131 e ListenAddress 192.168.35.134 que são os endereços IP das duas interfaces ethernet no servidor (maquina vitual, neste caso).

 

Depois deste passo é importante adicionar uma regra de firewall que permite tráfego para a máquina que ira fazer o acesso remoto. Abaixo está uma representação de como adicionar uma regra usando o UFW  (também se pode fazer usando o iptables ou Firewalld). 

Podemos agora verificar para quais endereços IP e porta o serviço SSH  está configurado.

E por fim vamos fazer os testes de conexão remota usando os dois endereços IP (um de cada vez, conforme a imagem abaixo, mas também se pode fazer de forma simultânea).

Conexão feita com sucesso para os dois IPs.

 

Um exercício: remova um dos endereços IP da sua máquina virtual (servidor) e faça o teste de conexão com os dois endereços. Não se esqueça de reiniciar o serviço SSH assim que as configurações forem alteradas, e deixa nos comentários o resultado do teste.