23°C 16°/ 24°
Linux

Instalou o OpenSSH? Estas configurações são “obrigatórias”…

10 Comentários

Quem usa sistemas Linux, como o Ubuntu, CentOS, Debian, entre outros, sabe que é muito fácil aceder remotamente a outra máquina. Um dos protocolos mais conhecidos e mais usados é o SSH. Este protocolo é extremamente versátil e pode-se instalar e configurar rapidamente.

Hoje deixamos algumas dicas de configuração, por questões de segurança, do OpenSSH. Saiba o que pode fazer.


O OpenSSH é um conjunto de ferramentas que nos permite gerir remotamente máquinas, recorrendo ao protocolo SSH. Ao contrário de outras ferramentas como o Telnet, rcp, rlogin e ftp, o OpenSSH garante que as comunicações entre máquinas sejam seguras, pois, recorre à criptografia para cifrar todo o tráfego (incluindo passwords).

Como instalar e configurar o OpenSSH no Ubuntu Server?

Instalar o SSH no Ubuntu é algo relativamente simples. Para isso basta que abram o terminal e insiram o seguinte comando:

sudo apt install ssh

Em seguida vamos iniciar e ativar o serviço no arranque. Para tal usem os seguintes comandos:

sudo systemctl start ssh
sudo systemctl enable ssh

Configurações importantes do OpenSSH (Segurança)

#1 – Desativar o acesso via utilizador root

Antes de desabilitarmos o login ao utilizador root, é importante que tenho um utilizador que possa fazer login como root. Por exemplo, permita que o utilizador pplware efetue login como root usando o comando sudo. Para tal deve fazer as seguintes configurações:

sudo adduser pplware
sudo adduser pplware sudo

Em seguida basta ir ao ficheiro de configuração do OpenSSH (/etc/ssh/sshd_config) e realizar a seguinte configuração:

PermitRootLogin no

Depois é só gravar as configurações e reiniciar o serviço (sudo systemctl restart ssh).

#2 – Desativar acesso sem password

Outra das opções é desativar o acesso ao SSH sem password. Para tal basta colocar o PermitEmptyPasswords a no.

#3 – Mudar porto lógico de acesso

Caso pretendam mudar o porto lógico de acesso ao OpenSSH, que por omissão é o 22, podem fazê-lo na instrução Port como mostra a imagem seguinte. Com a configuração da imagem, mudamos o porto de 22 para 2222.

#4 – Número de tentativas por ligação

Através da configuração do OpenSSH é possível indicar quantas tentativas pode um utilizador ter para se autenticar por ligação. O campo MaxAuthTries especifica o número máximo de tentativas de autenticação permitidas por cada ligação. Vamos, por exemplo, indicar que o utilizador tem 3 tentativas.

#5 – Tempo de espera para autenticação

Também é possível definir a quantidade de tempo que um utilizador tem para concluir a autenticação depois de se ligar inicialmente ao seu servidor SSH. Para tal basta que mude o parâmetro LoginGraceTime (tempo em segundos).

E está feito! Como viram a configuração é simples e rápida. Para se ligarem a uma máquina com SSH podem usar ferramentas como o Putty ou WinSCP, ou então, via terminal, com o comando ssh utilizador@endereco_ip.

Autor: Pedro Pinto
Partilhar:
Tags:
OpenSSH ssh
Venham conhecer os inimigos de Ghostwire: Tokyo
Artigo anterior

Venham conhecer os inimigos de Ghostwire: Tokyo
MB WAY: Rede que fingia ser da EDP rouba 700 mil euros
Próximo artigo

MB WAY: Rede que fingia ser da EDP rouba 700 mil euros
Também pode gostar
PUB

Comentários

10

Responder a jovilano Cancelar resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de jovilano
    jovilano

    2° passo adicionar auth por key….

    Responder
    1. Avatar de Jc
      Jc

      Pois…
      Dizer para desactivar passwords sem activar chaves…

      Para alem disso eu diria que o programa fail to ban é bem util

      Responder
      1. Avatar de Miguel Azevedo
        Miguel Azevedo

        Pelo que está no artigo, foi dito para desactivar a “PermitEmptyPasswords” ou seja, logins com passwords vazias. Nada tem a haver com desactivar passwords.

        Uma mudança que não tem quase qualquer efeito é a mudança de porto, basta um simples scan e detecta-se o porto que está a ser utilizado para qualquer protocolo.

        Todos os outros pontos parece-me bem.

        Responder
  2. Avatar de Joao Ptt
    Joao Ptt

    Claro que não se mete autenticação por password, isso é o básico “não”, tem de ser por chave publica/ privada ou EdDSA Ed448 (+/- 223 bit de segurança) ou RSA 8192 (+/- 192 bit de segurança) (ou superior: RSA 16384 (+/- 256 bit de segurança) )… se for chave RSA e utilizarem algo como Putty Key Generator para a criar usem as opções mais avançadas para garantir a máxima segurança: Key > “Use proven primes with even distribution (slowest)” e “Use “strong” primes as RSA key factors”. Todo o cuidado é pouco na geração destas chaves… e muitos problemas no passado aconteceram por causa de não ter existido todo o cuidado necessário.

    Para a actualidade e para os próximos anos (até ao ano de 2028) 128 bit é o nível de segurança mínimo recomendado pela ECRYPT, pelo que qualquer das opções acima é mais do que suficiente, e deixam uma margem confortável de segurança.
    Depois do ano 2028 o nível mínimo recomendado é de 256 bit e realmente aí só com RSA 16384 bit é que é possível atingir e ultrapassar ligeiramente os valores mínimos recomendados para atingir esse nível de segurança.
    Quer dizer, teoricamente o ECDSA nistp521 também permite atingir o nível de segurança de 256 bit, mas existem dúvidas na comunidade que se dedica a esta área acerca da forma como as curvas elípticas apareceram, desconfiando-se que a NSA, que as criou, criou com alguma vulnerabilidade… logo não são tão confiáveis nesse aspecto.

    Responder
  3. Avatar de Joao
    Joao

    Instalar ja, nem preciso do windows

    Responder
  4. Avatar de Str
    Str

    2fa adiciona outra camada de protecção

    Responder
    1. Avatar de Mr. Y
      Mr. Y

      2fa no ssh? Não sabia que era possível!

      Responder
      1. Avatar de Joao Ptt
        Joao Ptt

        Aparentemente até é possível utilizar chaves de segurança físicas FIDO2, como segundo factor de autenticação (exemplo de implementação: https://www.stavros.io/posts/u2f-fido2-with-ssh/ ).

        Diria que em conjunto com a chave pública/ privada de autenticação primária EdDSA Ed448, ou RSA 8192, ou RSA 16384, é o nível de segurança maior que se pode obter… maior mesmo só se conseguirem gerar a chave primária a partir de um dispositivo de hardware de segurança (HSM) dedicado só para essa função… para nenhum código maligno conseguir obter a chave privada.

        Responder
      2. Avatar de Str
        Str

        Se quiser apertar a malha, ainda mais, pode até definir o IP e o utilizador, tudo o que for diferente o SSH chuta logo para canto.

        Responder
  5. Avatar de George Orwell
    George Orwell

    O porto 22 TCP é muito utilizado por intrusos.
    Quem não precisar de utilizar o protocolo SSH deverá bloquear o mesmo.
    O unified firewall (ufw) presente em muitas distros e o seu “gui” muito intuitivo (gufw) permite acrescentar as mais diversas “rules” ali pré-definidas, entre as quais a “rule” para o SSH, podendo reverter em qualquer altura, assim como voltar a activar.
    Bastará adiccionar esta “rule” presente no menu e fazer o “Deny” bidireccionalmente para bloquear o SSH.
    Outras “rules” importantes para dificultar o trabalho dos intrusos são, por exemplo: samba, ftb, telnet, UpnP, RDP, NTP, imap, imaps, pop3, pop3s etc.
    Basta o deny de cada uma bidireccionalmente.
    Haverá outros protocolos também críticos, venham daí sugestões.

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.