Sys Admin (ep. 02, parte 6) - SSH (conexão de apenas um ou vários IPs, de apenas um ou vários usuários)
É também possível restringir o acesso SSH ao servidor de modo que sejam
aceites apenas conexões de endereços IP específicados. Este feito pode-se
alcançar configurando uma regra que filtre o tráfego de entrada com base na
sua origem. É uma combinação de configuração do daemon SSH e regras de
firewall do sistema, usando uma ferramenta como UFW, firewalld ou iptables.
Esta é uma medida de segurança poderosa para garantir que apenas tráfego de rede confiável possa tentar estabelecer uma conexão SSH, bloqueando efectivamente o acesso remoto de todos endereços na Internet.
Esta é uma medida de segurança poderosa para garantir que apenas tráfego de rede confiável possa tentar estabelecer uma conexão SSH, bloqueando efectivamente o acesso remoto de todos endereços na Internet.
O primeiro passo é aceder ao ficheiro de configuração do serviço SSH e
adicionar uma linha onde se específica que tal endereço IP pode aceder o
servidor:
AllowUsers nome_do_usuário@endereço_IP
nome_do_usuário é o nome do usuário remoto (para o
nosso caso é o root).
endereço_IP é o endereço IP da maquina local (neste
caso a máquina que faz o acesso remoto)
Sem este filtro no ficheiro, todo endereço pela internet pode tentar
estabelecer uma conexão .
Vamos então adicionar o filtro.
Agora vamos usar uma outra máquina para aceder ao servidor e vamos fazer a
primeira tentativa sem antes especificar o endereço IP no ficheiro de
configuração SSH.
Pela saída, a tentativa de conexão foi sem sucesso.
Vamos agora adicionar o IP ao ficheiro de configuração do serviço SSH e voltar
a tentar uma conexão ao servidor.
Fica aqui a nota que já temos conhecimento: sempre
que configuramos IPs específicos, devemos adicionar regras de firewall a
especificar que tal IP tem permissão para conduzir tráfego no sistema.
Nesta publicação nos focamos mais no usuário root, o qual a nivel de
configuração apenas pode fazer o acesso remoto a partir dos dois endereços IP
especificados.
Outros filtros podem ser adicionados (para permitir, assim como para bloquear
o acesso) , de acordo com o nome do usuário em relação a um endereço IP ou
faixa de endereços IP, e vice-versa.
Comentários