[MASOCH-L] SSh Proxy / Login server / proxy shell
Lao DanTong
danton at inexo.com.br
Mon Jun 11 18:17:50 BRT 2007
On Mon, 11 Jun 2007, Lucio de Aquino Marinho wrote:
>
> Prezados Amigos da Lista
>
> Considere a seguinte situação : Eu tenho um servidor Unix rodando um
> sistema em cobol , eu preciso "disponibilizar " esse acesso para
> clientes externos que provavelmente devem acessar via ssh .
>
> Pergunta : Como fazer isso de uma forma um pouco mais segura , eu
> estava pensando em colocar um servidor de login , ou um proxy shell
> nao sei nem como procurar , eu imagino um server na frente deste
> servidor servindo acesso ssh e uma vez autenticado ele se conecta o
> servidor da aplicação propriamente dito , Neste servidor de login eu
> teria mecanismos de log , etc a fim de manter um maior controle de quem
> está acessando a aplicação "protegida" . Alguem ja viu/montou um
> ambiente assim ?
ssh já é sozinho bastante seguro, no entanto algumas coisas podem ser
melhoradas, como usar autenticação por chave pública (RSA ou D-H) em vez
de senhas. eu só uso chave pública menos por segurança do que por minha
incapacidade de decorar essas malditas senhas. senhas são sempre
vulneráveis a ataques de dicionário e estou cansado de ver sites invadidos
porque tinham uma conta 'teste' com senha 'teste'.
outra coisa é ficar esperto e mantes seu ssh sempre atualizado. no passado
ele teve vulnerabilidades realmente brabas, vide a famosa cena do filme
'matrix reloaded', em que Trinity invade o computador que controla a
distribuição de energia elétrica com nmap e sshnuke.
um servidor de login é um recurso meio paranóico, mas se o fizer, boot ele
diretamente de CDROM, não deixe ninguém alterar bulhufas dentro dele e
exija autenticação por chave pública, de preferência mantendo a chave em
mídia removível (pen-drive, p.ex.) ou na pior das hipóteses no hd de um
notebook.
More information about the masoch-l
mailing list