[MASOCH-L] Como melhorar a segurança para acesso remoto via SSH

Leandro Carlos Rodrigues leandro at allchemistry.com.br
Mon Jan 20 11:45:49 -03 2014


O LNCC faz exatamente isto que você disse. Para cada pesquisador, que 
quer ter acesso aos clusters deles, é dado uma chave para VPN com 
validade de alguns meses. Uma vez dentro de uma rede privada restrita 
lá, você acessa os clusters via SSH. A grande dificuldade deste modelo é 
que um atacante tem que quebrar rapidamente dois sistemas de segurança 
distintos. Quebrando o primeiro, dependendo do monitoramento, você pode 
parar o ataque antes que cause danos irreparáveis.

*Leandro Carlos Rodrigues
TI - All Chemistry do Brasil Ltda.
(11) 3014-7100*
Em 20/01/2014 11:33, Gustavo Freitas escreveu:
> simples e prático.. openvpn.. acesso somente
> local..
>
> Em 20 de janeiro de 2014 10:34,  <nelson at pangeia.com.br> escreveu:
>> Pode ser util olhar aqui tambem:
>>
>> http://www.cert.br/docs/whitepapers/defesa-forca-bruta-ssh/
>>
>> NM
>>
>>
>> On Mon, Jan 20, 2014 at 11:14:41AM -0200, Guilherme Euler wrote:
>>> Geralmente utilizo o port-knocking mesmo, mas existe a opção também de
>>> trabalhar com clientes de DNS dinâmico. É bem menos seguro, mas se ajustar
>>> as regras direitinho é uma boa solução também. Por exemplo, tenho um DNS
>>> dinâmico em dinamico.dominio.com, coloco ele no CSF e deixo a porta do SSH
>>> bloqueada pra todo mundo, fica aberta apenas para quem tem determinados IPs
>>> e para os dinâmicos.
>>>
>>> Cordialmente,
>>> Guilherme Euler
>>> hrtp://www.euler.eti.br
>>> http://www.infodicas.com.br
>>>
>>> Enviado via smartphone.
>>> Em 19/01/2014 19:44, "Rubens Kuhl" <rubensk at gmail.com> escreveu:
>>>
>>>>> Dei uma olhada neste site [1] e achei interessante as configurações
>>>>> de hardening do servidor SSH bem como a técnica de port knocking,
>>>>> mas gostaria de ouvir algumas outras sugestões.
>>>>>
>>>>> Agradeço a atenção!
>>>>>
>>>>> [1]
>>>>>
>>>>>
>>>> http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-best-practices.html
>>>>>
>>>> Esse site resume bem, mas eu colocaria um tarpit na porta 22 para
>>>> atrapalhar um pouco os scanners, enquanto seu SSH está rodando de verdade
>>>> em outra porta, e o acesso a essa outra porta depende de um port-knocking
>>>> numa terceira porta. Mas eu usaria um port-knocking simples, tipo basta a
>>>> tentativa de conexão para a porta real (que tem um número mais baixo e bem
>>>> distante), e essa tentativa nunca se completa parecendo com qualquer outra
>>>> porta fechada da máquina.
>>>>
>>>>
>>>> Rubens
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>
>




More information about the masoch-l mailing list