[MASOCH-L] Como melhorar a segurança para acesso remoto via SSH

davi peres daviperes at gmail.com
Mon Jan 20 11:56:05 -03 2014


eu uso o fail2ban errou 1 vez... meia hora sem conexão.


Em 20 de janeiro de 2014 11:45, Leandro Carlos Rodrigues <
leandro at allchemistry.com.br> escreveu:

> O LNCC faz exatamente isto que você disse. Para cada pesquisador, que quer
> ter acesso aos clusters deles, é dado uma chave para VPN com validade de
> alguns meses. Uma vez dentro de uma rede privada restrita lá, você acessa
> os clusters via SSH. A grande dificuldade deste modelo é que um atacante
> tem que quebrar rapidamente dois sistemas de segurança distintos. Quebrando
> o primeiro, dependendo do monitoramento, você pode parar o ataque antes que
> cause danos irreparáveis.
>
> *Leandro Carlos Rodrigues
> TI - All Chemistry do Brasil Ltda.
> (11) 3014-7100*
> Em 20/01/2014 11:33, Gustavo Freitas escreveu:
>
>> simples e prático.. openvpn.. acesso somente
>> local..
>>
>> Em 20 de janeiro de 2014 10:34,  <nelson at pangeia.com.br> escreveu:
>>
>>> Pode ser util olhar aqui tambem:
>>>
>>> http://www.cert.br/docs/whitepapers/defesa-forca-bruta-ssh/
>>>
>>> NM
>>>
>>>
>>> On Mon, Jan 20, 2014 at 11:14:41AM -0200, Guilherme Euler wrote:
>>>
>>>> Geralmente utilizo o port-knocking mesmo, mas existe a opção também de
>>>> trabalhar com clientes de DNS dinâmico. É bem menos seguro, mas se
>>>> ajustar
>>>> as regras direitinho é uma boa solução também. Por exemplo, tenho um DNS
>>>> dinâmico em dinamico.dominio.com, coloco ele no CSF e deixo a porta do
>>>> SSH
>>>> bloqueada pra todo mundo, fica aberta apenas para quem tem determinados
>>>> IPs
>>>> e para os dinâmicos.
>>>>
>>>> Cordialmente,
>>>> Guilherme Euler
>>>> hrtp://www.euler.eti.br
>>>> http://www.infodicas.com.br
>>>>
>>>> Enviado via smartphone.
>>>> Em 19/01/2014 19:44, "Rubens Kuhl" <rubensk at gmail.com> escreveu:
>>>>
>>>>  Dei uma olhada neste site [1] e achei interessante as configurações
>>>>>> de hardening do servidor SSH bem como a técnica de port knocking,
>>>>>> mas gostaria de ouvir algumas outras sugestões.
>>>>>>
>>>>>> Agradeço a atenção!
>>>>>>
>>>>>> [1]
>>>>>>
>>>>>>
>>>>>>  http://www.cyberciti.biz/tips/linux-unix-bsd-openssh-server-
>>>>> best-practices.html
>>>>>
>>>>>>
>>>>>>  Esse site resume bem, mas eu colocaria um tarpit na porta 22 para
>>>>> atrapalhar um pouco os scanners, enquanto seu SSH está rodando de
>>>>> verdade
>>>>> em outra porta, e o acesso a essa outra porta depende de um
>>>>> port-knocking
>>>>> numa terceira porta. Mas eu usaria um port-knocking simples, tipo
>>>>> basta a
>>>>> tentativa de conexão para a porta real (que tem um número mais baixo e
>>>>> bem
>>>>> distante), e essa tentativa nunca se completa parecendo com qualquer
>>>>> outra
>>>>> porta fechada da máquina.
>>>>>
>>>>>
>>>>> Rubens
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>
>>>>>  __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>
>>
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



More information about the masoch-l mailing list