SSH

Uma Abordagem Prtica

Por: Robson Negreiros

Protocolo SSH

Permite acessar sistemas remotamente como se fossem locais, de forma segura, utilizando criptografa. Presentes nos mais modernos sistemas como: Linux, Unix, Mac OSX, switch, roteadores e diversos outros ativos que suportam o protocolo.

201008211326

SSH: Uma Abordagem Prtica

Caractersticas do SSH

Utiliza, por padro, a porta 22/tcp. No Linux, o processo sshd o responsvel pelo servio. Suporta tambm protocolos para transferncia de arquivos, igualmente criptografados:

SCP SFTP

201008211326

SSH: Uma Abordagem Prtica

Caractersticas

Tunelamento

Com o SSH possvel encapsular outro protocolo. Ex: Acessar de forma segura(criptografada) o email via porta POP3

201008211326

SSH: Uma Abordagem Prtica

Instalao

Atualizar a lista de pacotes locais

# aptitude update # aptitude install openssh-server

Instalar o servio do SSH

201008211326

SSH: Uma Abordagem Prtica

Verifcando o Servio

Visualizando a porta usada pelo servio:

0 0 0 0.0.0.0:22 0.0.0.0:* :::22 :::* OUA OUA 832/sshd 832/sshd

# netstat -tupan | grep sshd tcp

tcp6 0

201008211326

SSH: Uma Abordagem Prtica

Usando em CLI (Command Line Interface)

Formato:

# ssh usuario@servidor # ssh aluno@192.168.1.1 # ssh srv.dominio.com -l admin

Exemplos:

201008211326

SSH: Uma Abordagem Prtica

Transferindo Arquivos

Arquivo Local para Host Remoto

# scp -r /boot aluno@srv.dominio.local:~/ # scp -C aluno@srv.dominio.local:~/boot /tmp

Arquivo Remoto para Host Local

201008211326

SSH: Uma Abordagem Prtica

SSH Grafcamente

No Ambiente do KDE(Kubuntu)

Digite: "ALT+F2" "fsh:/ /servidor-ssh"

E coloque o endereo do servidor no formato:

201008211326

SSH: Uma Abordagem Prtica

SSH Grafcamente

No Ambiente do GNOME(Ubuntu)

Digite: "ALT+F2" "ssh:/ /servidor-ssh"

E coloque o endereo do servidor no formato:

201008211326

SSH: Uma Abordagem Prtica

10

SSH
No Windows

201008211326

SSH: Uma Abordagem Prtica

11

Controle Remoto do Servidores

Instale o programa putty:

http:/ /www.chiark.greenend.org.uk/~sgtatham/put ty/download.html

201008211326

SSH: Uma Abordagem Prtica

12

201008211326

SSH: Uma Abordagem Prtica

13

201008211326

SSH: Uma Abordagem Prtica

14

201008211326

SSH: Uma Abordagem Prtica

15

Transferncia Remota de Arquivos

Instale o programa WinSCP:

http:/ /winscp.net/eng/download.php#download2

SSHD Parmetros do Servidor

201008211326

SSH: Uma Abordagem Prtica

16

201008211326

SSH: Uma Abordagem Prtica

17

201008211326

SSH: Uma Abordagem Prtica

18

Confgurao do Servidor

/etc/ssh/sshd_confg

Arquivo de confgurao do servidor ssh.

Obs.: Aps qualquer alterao nesse arquivo, para aplicar faa: /etc/init.d/ssh restart
201008211326 SSH: Uma Abordagem Prtica 19

Confgurao do Cliente

/etc/ssh/ssh_confg

Arquivo de confgurao global do cliente ssh. Diretrio local do usurio

$HOME/.ssh

201008211326

SSH: Uma Abordagem Prtica

20

/etc/ssh/sshd_confg

Port 22

Especifca a porta padro do sevio. IP que ser usado para aguardar conexes Permite o login via root no servio

ListenAddress 0.0.0.0

PermitRootLogin yes/no

201008211326

SSH: Uma Abordagem Prtica

21

SSH
Autenticao por Criptografa Assimtrica

201008211326

SSH: Uma Abordagem Prtica

22

Consideraes

possvel omitir a senha na autenticao, trocando-a pela autenticao via chave pblica-privada.

OBS: Caso a chave privada seja comprometida (roubada/perdida), todos os servidores devero ter as chaves pblicas do usurio revogadas, ou seja, devem ser removidas do arquivo $HOME/.ssh/authorized_keys.
201008211326 SSH: Uma Abordagem Prtica 23

Procedimento

Gerao das chaves pblica/privada

ssh-keygen -t rsa

201008211326

SSH: Uma Abordagem Prtica

24

Resultado: ssh-keygen -t rsa

Generating public/private rsa key pair. Enter fle in which to save the key (/root/.ssh/id_rsa):

Informe qual o nome do arquivo ter a sua chave privada, deixe em branco para padro

201008211326

SSH: Uma Abordagem Prtica

25

Resultado: ssh-keygen -t rsa

Created directory '/root/.ssh'.

Cria diretrio caso no exista Insira a frase secreta para proteger a chave privada.

Enter passphrase (empty for no passphrase):

OBS: Pode ser deixada em branco, mas a chave privada no estar protegida

201008211326

SSH: Uma Abordagem Prtica

26

Resultado: ssh-keygen -t rsa

Enter same passphrase again:

Repita a senha anterior

Your identifcation has been saved in /root/.ssh/id_rsa.

A chave privada foi salva no caminho indicado.

201008211326

SSH: Uma Abordagem Prtica

27

Resultado: ssh-keygen -t rsa

Your public key has been saved in /root/.ssh/id_rsa.pub.

A chave pblica foi salva no caminho indicado.

The key fngerprint is: 31:f5:4a:53:1e:6a:f5:35:27:21:9c:e1:f2:7f:29:55 root@debian-aula

Identifcao do Servidor

201008211326

SSH: Uma Abordagem Prtica

28

Procedimento

Copia das chaves

ssh-copy-id aluno@servidor

201008211326

SSH: Uma Abordagem Prtica

29

Resultado: ssh-copy-id root@servidor

root@localhost's password:

Informe a senha

Now try logging into the machine, with "ssh 'root@servidor'", and check in: .ssh/authorized_keys to make sure we haven't added extra keys that you weren't expecting.

Cada usurio no servidor possui no seu $HOME/.ssh um arquivo authorized_keys, contendo as chaves pblicas autorizadas.
SSH: Uma Abordagem Prtica 30

201008211326

Procedimento

Acesso ao servidor

ssh aluno@servidor

201008211326

SSH: Uma Abordagem Prtica

31

Alerta para Segurana

Caso a chave privada seja comprometida (roubada/perdida), todos os servidores devero ter as chaves pblicas do usurio em questo revogadas, ou seja, devem ser removidas do arquivo $HOME/.ssh/authorized_keys.

201008211326

SSH: Uma Abordagem Prtica

32

SSH
Boas prticas

201008211326

SSH: Uma Abordagem Prtica

33

Limitar o Acesso dos Usurios

Por padro, qualquer usurio pode usar SSH Para limitar, confgure no servidor:

AllowUsers joao maria

Somente os usurios: joao e maria podero usar SSH no servidor, aos outros ser negado. Somente os usurios: paulo e pedro no podero usar SSH no servidor, aos outros ser permitido.

DenyUsers paulo pedro

201008211326

SSH: Uma Abordagem Prtica

34

Desabilitar o Acesso Direto ao root

Altere a linha com o parmetro PermitRootLogin para:

PermitRootLogin no

Agora o acesso ao servidor ser feito por um usurio comum e, aps isso dever usar a ferramenta su ou sudo para executar tarefas como root.

201008211326

SSH: Uma Abordagem Prtica

35

Alterar a Porta Padro

Existem muitos ataques automticos na Internet buscando a porta padro do servio, e um dos mais explorados o SSH. Para alterar, basta trocar a porta defnida no parmetro Port, para(como exemplo):

Port 4522 ssh usuario@servidor -p 4522

SSH: Uma Abordagem Prtica 36

E acesso se dar

201008211326

Bibliografa

Wikipedia sobre SSH

http:/ /en.wikipedia.org/wiki/Secure_Shell http:/ /focalinux.cipsga.org.br/guia/avancado/ch-sssh.html

Focalinux

201008211326

SSH: Uma Abordagem Prtica

37

Perguntas?

201008211326

SSH: Uma Abordagem Prtica

38