1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.
  2. Informação: Pela 0:30 desta Sexta-feira (9 de Dezembro, 23:30 de Quinta-feira nos Açores) o Fórum e restantes sites da ZWAME vão estar offline para manutenção durante cerca de 1h30.
    Se necessário faremos actualizações via Twitter e Facebook.
    Remover anúncio

ProFTPd e SSH

Discussão em 'Dúvidas e Suporte Técnico - GNU/Linux & *nix' iniciada por petersaints, 19 de Dezembro de 2007. (Respostas: 17; Visualizações: 1323)

  1. petersaints

    petersaints Power Member

    Preciso de configurar estes dois servços no Ubuntu.

    O ProFTPd tem que permitir um acesso com login criando um utilizador para o efeito e tenho que alterar a mensagem quando se faz login. Tenho também que permitir o tráfego FTP apenas na rede local.

    O SSH tenho que configurar para fazer conexão remota à pasta home de apenas um utilizador (que deve ser administrador e o único a aceder ao SSH, nem mesmo o root deve poder, devendo ser desactivado) além disso mais uma vez a firewall deve ser configurada em conformidade!

    Alguém me pode dar uma ajuda? Já googlei mas não faço ideia de como configurar isto!
     
  2. xupetas

    xupetas Banido

    Pergunta 1:

    Altera o /etc/motd, verifica que o .conf está a ir o ler. Em seguida reload ao proftpd
    Dependendo da versão do proftd ou metes ACL's para controlar as ranges que acedem ou então fazes por iptables.

    Pergunta 2:

    Cria o user
    Altera o /etc/passwd de forma ao pid do user ser 0 (essa do de ser administrador tem uma logica do caralh!)
    Altera o /etc/ssh/sshd_config e adiciona as seguintes linhas:

    PermitRootLogin no
    AllowUsers user (que adicionaste agora) em seguida faz reload ao sshd
     
  3. petersaints

    petersaints Power Member

    Amanhã já testo em VirtualBox para depois usar numa máquina a sério na Sexta ;) Thanks
     
  4. petersaints

    petersaints Power Member

    Uma pergunta como é que meto a message'm de boas vindas após o login?? (Já agora estou a usar uma versão standalone do proftpd) e como abro a porta 20 na firewall (por defeito só deixa a 21).
     
  5. petersaints

    petersaints Power Member

    Só não sei abrir a porta 20 já consegui o resto, mas já agora expliquem-me melhor isso do ACL para eu não ter de editar o hosts.allow e hosts.deny... é que de iptables eu não percebo nada!

    Quanto ao SSH já vou tentar a seguir
     
  6. xupetas

    xupetas Banido

    experimenta através da interface fwbuilder para os iptables
     
  7. petersaints

    petersaints Power Member

    Já consegui pelo FireStarter depois de andar a tentar perceber aquilo!! Bem consegui tudo excepto testar se não se conseguia aceder de fora da LAN porque está tudo dentro da minha LAN caseira LoL

    Amanhã já levo o trabalho feito é só repetir :P
     
  8. kosmic

    kosmic Power Member

    Uma sugestão instalar serviços sem conhecimentos básicos sobre o mesmo é estar a pedir por problemas, basta algo mal configurado, para poderes vir a sofrer consequências de um script kid qualquer.

    como sugestão aconselho-te a ler sobre Chaves DSA e RSA com o SSH é muito mais seguro que utilizador palavras passes.

    Deves também configurar a firewall para cortar a ligação a ips que tentem varios nomes de utilizadores...isto se não usares chaves...
     
  9. slack_guy

    slack_guy Power Member

    Quão 'muito mais seguro'?
    Por exemplo: aqui no estaminé, todos os acessos (SSH) de fora para dentro são feitos via password (claro que _não_ temos o SSHD à escuta no porto 22...), e todos os (poucos) acessos internos aos servidores são feitos com chaves. Ou seja, se um portátil é roubado não temos a dor de cabeça com o problema da chave privada andar sabe deus onde...
     
  10. xtr3me

    xtr3me Power Member

    Muito mais seguro.

    O DSA (evolução do RSH para a versão 2 do protocolo SSH) é um protocolo de autenticação bastante seguro.

    O facto de teres configurado o ssh noutra porta ajuda, mas mesmo assim para uma empresa devias usar o DSA.
     
  11. slack_guy

    slack_guy Power Member

    Parece-me que estamos em ondas diferentes :-)
    Confesso que não sou versado em criptografia, mas pelo que aprendi, DSA e RSA são algoritmos bastante seguros e nunca ouvi dizer que um é, em geral, qualitativamente superior ao outro. Claro que posso estar enganado (e estou sempre disponível para aprender) mas tanto quanto sei RSA é mais rápido na verificação enquanto que DSA é mais rápido na assinatura. Ou seja, não compreendo porque é que dizes que para uma empresa é preferível DSA em vez de RSA (estamos a falar de SSH).

    O que eu estava a referir no post anterior é que, se meto a minha chave privada (RSA|DSA) num portátil - e tenho um (ou mais) servidores que autenticam apenas com base nas chaves - e esse portátil é roubado por alguém que perceba minimamente do assunto, posso ter o caldo entornado... Por isso é que disse: se está fora, 'mete a password'; se está dentro, 'mete a chave' :-)
     
  12. xtr3me

    xtr3me Power Member

    Eu não estava a referir o DSA sobre o RSA, mas sim a autenticação baseada num destes algoritmos ao invés da password.

    E se assim for, como o DSA é considerado mais seguro ... foi apenas o que disse.

    Não estava a sugerir o DSA especificamente por ser uma empresa, implicando que o RSA seria melhor para outras utilizações.

    Quanto ao resto, sim, tens o problema de se te roubarem o portátil, mas com a password é mais fácil comprometer a rede.

    Por isso acho que no caso das empresas, se a sensibilidade do material o justificar, há que aplicar os métodos mais seguros.

    EDIT: quando fiz quote ao teu post (na minha outra reply) não reparei que não eras o user do post inicial. :P
     
  13. slack_guy

    slack_guy Power Member

    errr.... não percebi. Referes-te a 'brute force'? se é isso, o 'kosmic' já tinha referido que "Deves também configurar a firewall para cortar a ligação a ips que tentem varios nomes de utilizadores". Não disse nada sobre isto porque estou de acordo (ou melhor: estou mais ou menos de acordo, depende da forma como é implementado).

    no problem.
     
  14. kosmic

    kosmic Power Member


    Cada utilizador pode ter uma chave privada para autenticar na mesma conta, o portátil é roubado, simples REVOGA-SE a chave e cria-se outra para o mesmo cliente.

    Evita-se o problema de tentativas de script kids contra portas SSH com passwords ;)
     
  15. slack_guy

    slack_guy Power Member

    Esse problema evita-se tão facilmente com a mudança do porto... Há anos que não tenho nos logs qualquer tentativa de entrada por SSH.
     
  16. kosmic

    kosmic Power Member

    Se tiveres dados mesmo muito importantes...não é uma alteração de porta do SSH que te vai salvar...continuo a afirmar se a segurança está em primeiro lugar não utilizar SSH com passwords.

    São os meus 2 cêntimos...;)

    Mas como digo é sempre bom ouvir opiniões diferentes.
     
  17. xtr3me

    xtr3me Power Member

    Brute force é o método menos refinado ...

    Já agora, como consegues esse tipo de configuração de firewall ? É que as regras de firewall são relativamente restritivas e rígidas. Esse tipo de verificação tem uma série de condicionantes e de regras que não são muito fáceis de implementar (se forem sequer possíveis). Estou a falar de uma firewall implementada com base em IPTABLES, uma vez que de firewalls profissionais (CISCO, etc) não tenho muito conhecimento prático.

    Via esse tipo de verificações mais noutro tipo de sistemas como IPS ou IDS.
     
    Última edição: 22 de Dezembro de 2007
  18. kosmic

    kosmic Power Member

    Sim podes sempre cortar o acesso pela firewall de muitas tentativas, IPTABLES, IPFW ou uma por hardware CISCO.

    O controlo para mim é mais facil por Chave DSA ou RSA.

    Aqui não podes ter um cliente a dizer ai... a minha password "Maria" toda a minha familia sabe, tinha aqui arquivos e agora desapareceram...

    Com uma chave DSA/RSA para alem de ser preciso a chave para poderes ao menos comunicares com o sistema ainda tens que inserir a password dessa mesma chave... Ai é mais facil apurar responsabilidades e ter a certeza que o sistema está mais seguro.

    Passas a ter 2 camadas de segurança em vez de 1 apenas com a password, e podes na mesma ainda ter uma firewall a limitar o acesso (de que gamas/ips é que podem ser efectuadas as ligações SSH)...
     

Partilhar esta Página