O último artigo desta série abordou a criação de túneis pelo OpenSSH, um dos recursos mais práticos, que permitem contornar as dificuldades do NAT e ainda garantir a segurança de máquinas remotas em viagens por meio de simples VPNs.

Vejamos agora como controlar o acesso ao seu servidor OpenSSH.

Por interface de rede

O arquivo /etc/ssh/sshd_config contém uma boa quantidade de opções de configuração. Uma delas pode ser muito importante para determinarmos quem tem ou não tem acesso ao servidor:

  ListenAddress 0.0.0.0

Esta opção, se definida com o valor acima, faz com que o servidor OpenSSH escute em todas as interfaces de rede da máquina.

Se seu servidor possui mais de uma conexão de rede, cabe a seguinte pergunta: o OpenSSH deve escutar em todas as interfaces?

Caso seu servidor tenha uma interface com o IP 10.1.2.3 e a outra com o IP 192.168.100.200, e não precise escutar OpenSSH na primeira, basta usar o seguinte valor no arquivo de configuração do servidor OpenSSH (/etc/ssh/sshd_config):

  ListenAddress 192.168.100.200

Por iptables

Bloquear um serviço de rede via iptables é sempre uma possibilidade, mas pode ser interessante deixar esse recurso como última opção. A menos, claro, que você esteja concentrando no iptables todas as filtragens de serviços.

Nesse caso, bastam linhas como:

  # iptables -A INPUT -s <rede_ou_endereço_de_origem> \
      -p tcp \
      --dport 22 \
      -j ACCEPT

para ativar o serviço SSH vindo de determinada rede ou host.

Por tcp_wrappers

O sistema tcp_wrappers foi feito justamente para dar aos serviços como o OpenSSH um controle de acesso mais refinado. Com ele, basta incluir nos arquivos /etc/hosts.allow e /etc/hosts.deny os IPs ou redes que têm ou não têm, respectivamente, permissão de acessar o serviço.

Um dado interessante do tcp_wrappers é que não é ele que nega ou permite acesso aos serviços. O tcp_wrappers simplesmente informa ao serviço específico caso o endereço de origem da conexão seja proibido. Então, continua sendo o serviço — no caso, o OpenSSH — quem nega ou permite acesso. Ele simplesmente passa a contar com a ajuda do tcp_wrappers para tomar essa decisão.

Por isso, antes de usar o tcp_wrappers em conjunto com seu servidor sshd é preciso conferir se esse binário, o /usr/sbin/sshd, inclui o suporte a tcp_wrappers. Basta um comando:

  # ldd $(which sshd)
  	lib...
  	...
  	libwrap.so.0 => /lib/libwrap.so.0 (0x0000f750677ca000)
  	...
  	...
  # _

Como você pode ver, o binário sshd está linkado à biblioteca libwrap, que é justamente o que precisávamos confirmar. Nem todos os serviços em GNU/Linux possuem a opção de usar tcp_wrappers.

Se você deseja impedir que a rede 10.0.0.0/8 se conecte ao seu servidor OpenSSH, basta acrescentar a seguinte linha ao arquivo /etc/hosts.deny:

  sshd: 10.0.0.0/8

Porém, se há uma máquina dentro da rede 10.0.0.0/8 (a máquina 10.1.2.3, por exemplo) que deve poder acessar seu servidor, você pode usar a linha um pouco diferente:

  sshd: 10.0.0.0/8 EXCEPT 10.1.2.3

É possível ainda definir nomes de redes e de hosts. Por exemplo, para proibir máquinas do domínio perigo.br de acessarem seu servidor OpenSSH, basta adicionar a seguinte linha ao /etc/hosts.deny:

  sshd: .perigo.br

Conclusão

O tcp_wrappers é um sistema extremamente poderoso e flexível, características típicas das soluções livres. Um post futuro ainda vai tratar de mais detalhes dele. Por enquanto, confira as páginas de manual hosts_access(5) e hosts_options(5)

Até breve! 

Tags:  ssh