Neste tutorial:
Antes de Iniciar
Introdução
Revisitando as Leis Imutáveis da Segurança
Planejar a Instalação do Servidor
Protegendo o SSH
	Segurança através da obscuridade
	Permissões de login como root
	Usuários na lista de desbloqueio
Criar Regras de Firewall
Monitorar seu Sistema
Usuários e Grupos
Criptografia
Etapas Adicionais de Segurança
Conclusão
Recursos
Sobre o autor
Avalie este tutorial

developerWorks Brasil > Linux | Software livre >

Protegendo o Servidor Linux

Uma instrução à segurança do servidor GNU/Linux

	Página 5 de 14

Opções de documento

Classificar este tutorial

Ajude-nos a melhorar este conteúdo

Protegendo o SSH

O SSH fornece a o usuário uma conexão com um computador remoto. Como uma substituição ao Remote Shell (RSH) e ao Telnet, o SSH é comumente utilizado pelos administradores de sistema para efetuar login em seus servidores a partir de um computador remoto para executar tarefas de manutenção e administração. Embora o SSH forneça um nível muito maior de segurança do que os protocolos que substituiu, você pode fazer algumas coisas para torná-lo mais seguro.

Segurança através da obscuridade

Um dos métodos mais comuns para proteger o SSH é alterar o número da porta que é utilizada para acessá-lo. A teoria é que um hacker utilizando a porta padrão ou TCP 22 para estabelecer uma conexão terá o acesso negado porque o serviço está em execução em uma porta segura.

Este método de proteção do SSH é o centro de vários debates em fóruns. Alterar o número da porta não evita que a porta do SSH seja localizada por um hacker com um scanner de porta que tenha tempo de varrer todas as portas em seu servidor; e por este motivo, muitos administradores de sistema não se dão ao trabalho de alterar a porta. Mas esta abordagem evita que script kiddies (hackers amadores) ataquem o SSH sem ferramentas automatizadas dedicadas a localizar portas TCP 22 abertas e hackers impacientes podem cansar de varrer seu servidor se não localizarem o SSH em execução no primeiro intervalo de portas que varrerem.

Para alterar o endereço de porta do SSH, primeiro você precisa instalar o SSH em seu servidor. Digite


		sudo aptitude install openssh-server

Pressione Enter e digite sua senha. Este comando instala o openssh para uso para logins remotos em seu servidor.

Assim que você tiver um arquivo SSH para configurar, deve copiar o arquivo no caso de algo acontecer durante a configuração. Sempre é possível reverter para o original. Siga estas etapas:

Na linha de comandos, digite sudo cp /etc/ssh/sshd_config /ete/ssh/sshd_config.back
Pressione Enter e forneça sua senha para concluir o backup deste arquivo.

Instalar emacs
Para instalar emacs, utilize


		sudo aptitude install emacs

Agora, você precisa localizar a parte do arquivo onde o número da porta está configurado. Assim que tiver localizado (o padrão é a porta 22), você pode alterá-lo para um número arbitrário. Há mais de 65.000 portas; escolha algo na parte superior da escala, mas um número do qual você se lembrará. Lembre-se, hackers qualificados sabem com as pessoas pensam. Alterar o número da porta para 22222 ou 22022 é um erro comum—escolha um número que não seja facilmente adivinhado.

Agora, você precisa alterar as permissões para o arquivo sshd_config de forma que possa alterá-lo:

Digite sudo chmod 644 /etc/ssh/sshd_config
Pressione Enter. Agora você pode utilizar um editor de texto como emacs ou vi para alterar o arquivo: emacs /etc/ssh/sshd_config

Deixe o emacs ou o vi aberto enquanto faz mais alterações neste arquivo.

Permissões de login como root

O usuário root está desativado em todas as distribuições do Ubuntu, mas é possível ativar esta conta. Se você estiver utilizando o SSH, não deve conceder permissão à conta root para efetuar login no servidor remotamente no caso de você ou um hacker ter ativado esta conta. Enquanto estiver com o editor aberto, role até a linha onde se lê PermitRootLogin. O padrão é yes.

Usuários na lista de desbloqueio

Outra etapa que você executar para proteger o SSH em seu servidor é permitir que apenas determinados usuários utilizem este serviço. Este processo é conhecido como lista de desbloqueio. Para criar uma lista de desbloqueio, primeiro você precisa dos nomes de usuário das pessoas que terão permissão para utilizar o SSH para acessar o servidor remotamente. Então, siga estas etapas

Inclua esta linha em seu arquivo sshd_config:
# Permitir apenas determinados usuários AllowUsers username username username
Substitua os nomes de usuário da sua lista no lugar da palavra username. Alternativamente, você pode permitir que grupos acessem logins do SSJ utilizando # Permitir apenas determinados grupos AllowGroups group group Novamente, substitua por seus grupos de usuários a palavra group no exemplo.
Salve seu arquivo de configuração e saia do seu editor. É necessário reiniciar o SSH para que as alterações tomem efeito. Não é necessário encerrar seu computador -- apenas digite sudo service ssh restart
Pressione Enter e forneça sua senha. O serviço é reiniciado e informa [OK].

Há muitas outras maneiras de proteger ainda mais o SSH que são destinadas a usuários mais avançados. Quando você tiver adquirido mais experiência trabalhando com o GNU/Linux e o SSH, deve considerar executar estas etapas.

	Página 5 de 14