Vejamos agora como controlar o acesso ao seu servidor OpenSSH.
Por interface de rede
O arquivo /etc/ssh/sshd_config contém uma boa quantidade de
opções de configuração. Uma delas pode ser muito importante para determinarmos
quem tem ou não tem acesso ao servidor:
ListenAddress 0.0.0.0
Esta opção, se definida com o valor acima, faz com que o servidor OpenSSH escute em todas as interfaces de rede da máquina.
Se seu servidor possui mais de uma conexão de rede, cabe a seguinte pergunta: o OpenSSH deve escutar em todas as interfaces?
Caso seu servidor tenha uma interface com o IP 10.1.2.3 e a outra com o IP
192.168.100.200, e não precise escutar OpenSSH na primeira, basta usar o
seguinte valor no arquivo de configuração do servidor OpenSSH
(/etc/ssh/sshd_config):
ListenAddress 192.168.100.200
Por iptables
Bloquear um serviço de rede via iptables é sempre uma possibilidade, mas pode ser interessante deixar esse recurso como última opção. A menos, claro, que você esteja concentrando no iptables todas as filtragens de serviços.
Nesse caso, bastam linhas como:
# iptables -A INPUT -s <rede_ou_endereço_de_origem> \
-p tcp \
--dport 22 \
-j ACCEPT
para ativar o serviço SSH vindo de determinada rede ou host.
Por tcp_wrappers
O sistema tcp_wrappers foi feito justamente para dar aos serviços como o
OpenSSH um controle de acesso mais refinado. Com ele, basta incluir nos arquivos
/etc/hosts.allow e /etc/hosts.deny os IPs ou redes que
têm ou não têm, respectivamente, permissão de acessar o serviço.
Um dado interessante do tcp_wrappers é que não é ele que nega ou permite acesso aos serviços. O tcp_wrappers simplesmente informa ao serviço específico caso o endereço de origem da conexão seja proibido. Então, continua sendo o serviço — no caso, o OpenSSH — quem nega ou permite acesso. Ele simplesmente passa a contar com a ajuda do tcp_wrappers para tomar essa decisão.
Por isso, antes de usar o tcp_wrappers em conjunto com seu servidor
sshd é preciso conferir se esse binário, o
/usr/sbin/sshd, inclui o suporte a tcp_wrappers. Basta um comando:
# ldd $(which sshd) lib... ... libwrap.so.0 => /lib/libwrap.so.0 (0x0000f750677ca000) ... ... # _
Como você pode ver, o binário sshd está linkado à biblioteca
libwrap, que é justamente o que precisávamos confirmar. Nem todos os
serviços em GNU/Linux possuem a opção de usar tcp_wrappers.
Se você deseja impedir que a rede 10.0.0.0/8 se conecte ao seu servidor
OpenSSH, basta acrescentar a seguinte linha ao arquivo
/etc/hosts.deny:
sshd: 10.0.0.0/8
Porém, se há uma máquina dentro da rede 10.0.0.0/8 (a máquina 10.1.2.3, por exemplo) que deve poder acessar seu servidor, você pode usar a linha um pouco diferente:
sshd: 10.0.0.0/8 EXCEPT 10.1.2.3
É possível ainda definir nomes de redes e de hosts. Por exemplo, para proibir
máquinas do domínio perigo.br de acessarem seu servidor OpenSSH, basta adicionar
a seguinte linha ao /etc/hosts.deny:
sshd: .perigo.br
Conclusão
O tcp_wrappers é um sistema extremamente poderoso e flexível, características típicas das soluções livres. Um post futuro ainda vai tratar de mais detalhes dele. Por enquanto, confira as páginas de manual hosts_access(5) e hosts_options(5)
Até breve!
