Sys Admin (ep. 02, parte 9-4) - SSH (Public and Private Key - considerações e outros comandos)
No âmbito do acesso remoto seguro, a chave SSH privada pode ser comparada as
tradicionais chaves físicas que usamos para ter acesso aos edifícios. A
primeira e mais fundamental regra é sempre proteger a chave privada usando
permissões rigorosas, garantindo que apenas o proprietário possa aceder este
ficheiro (ler, modificar, executar). Em sistemas baseados em Linux e Unix,
isso significa definir permissões corretas para que as chaves privadas não
sejam acessíveis a outros utilizadores no sistema, criando uma primeira camada
essencial de defesa contra o acesso não autorizado.
Uma distinção crucial que todos os utilizadores de do serviço SSH devem compreender é a diferença entre as funções das chaves privadas e públicas. A chave privada deve permanecer privada e não deve ser partilhada em nenhuma circunstânciam ,as sim deve permanecer em segurança na sua própria máquina (ou conta do utilizador). O que se pode e se deve partilhar livremente é a chave pública, que pode ser distribuída com segurança para servidores e serviços aos quais existe a necessidade de aceder. Esta é uma relação assimétrica e é a base do modelo de segurança da autenticação baseada em chaves.
Para uma camada adicional de protecção, considere usar senhas para encriptar chaves privadas localmente. Esta é uma medida de segurança aplicada para garantir que, mesmo que alguém obtenha acesso não autorizado ao ficheiro que contém a chave privada, ainda assim não poderá usar sem saber a senha. A única excepção a essa prática é quando se usam chaves para processos automatizados ou scripts, nos quais a intervenção humana para inserir uma senha não é viável. Ao implementar essas medidas de segurança de forma consistente, cria várias barreiras que protegem sistemas e dados contra possíveis violações de segurança
Uma distinção crucial que todos os utilizadores de do serviço SSH devem compreender é a diferença entre as funções das chaves privadas e públicas. A chave privada deve permanecer privada e não deve ser partilhada em nenhuma circunstânciam ,as sim deve permanecer em segurança na sua própria máquina (ou conta do utilizador). O que se pode e se deve partilhar livremente é a chave pública, que pode ser distribuída com segurança para servidores e serviços aos quais existe a necessidade de aceder. Esta é uma relação assimétrica e é a base do modelo de segurança da autenticação baseada em chaves.
Para uma camada adicional de protecção, considere usar senhas para encriptar chaves privadas localmente. Esta é uma medida de segurança aplicada para garantir que, mesmo que alguém obtenha acesso não autorizado ao ficheiro que contém a chave privada, ainda assim não poderá usar sem saber a senha. A única excepção a essa prática é quando se usam chaves para processos automatizados ou scripts, nos quais a intervenção humana para inserir uma senha não é viável. Ao implementar essas medidas de segurança de forma consistente, cria várias barreiras que protegem sistemas e dados contra possíveis violações de segurança
Outro método altamente eficaz para reforçar a segurança SSH envolve a
implementação de restrições de acesso baseadas em grupos, o que permite criar
um grupo de usuários exclusivo especificamente autorizado para ligações SSH.
Este método cria de forma eficaz, uma abordagem de lista branca que reduz
significativamente a superfície de ataque, eliminando o SSH como ponto de
entrada através de contas não autorizadas.
Envolve a criação de um grupo dedicado (como por exemplo
usuários-com-acesso-ssh) seguido pela adição de usuários autorizados a
este grupo. A etapa crítica da configuração ocorre então no ficheiro de
configuração do daemon SSH (/etc/ssh/sshd_config), onde se adiciona a diretiva
AllowGroups usuários-com-acesso-ssh para permitir explicitamente que apenas
membros deste grupo específico estabeleçam conexões SSH.
Outros comandos essenciais.
Comentários