ProFTPd e SSH

petersaints · 19 de Dezembro de 2007

Preciso de configurar estes dois servços no Ubuntu.

O ProFTPd tem que permitir um acesso com login criando um utilizador para o efeito e tenho que alterar a mensagem quando se faz login. Tenho também que permitir o tráfego FTP apenas na rede local.

O SSH tenho que configurar para fazer conexão remota à pasta home de apenas um utilizador (que deve ser administrador e o único a aceder ao SSH, nem mesmo o root deve poder, devendo ser desactivado) além disso mais uma vez a firewall deve ser configurada em conformidade!

Alguém me pode dar uma ajuda? Já googlei mas não faço ideia de como configurar isto!

xupetas · 19 de Dezembro de 2007

petersaints disse:
Preciso de configurar estes dois servços no Ubuntu.

O ProFTPd tem que permitir um acesso com login criando um utilizador para o efeito e tenho que alterar a mensagem quando se faz login. Tenho também que permitir o tráfego FTP apenas na rede local.

O SSH tenho que configurar para fazer conexão remota à pasta home de apenas um utilizador (que deve ser administrador e o único a aceder ao SSH, nem mesmo o root deve poder, devendo ser desactivado) além disso mais uma vez a firewall deve ser configurada em conformidade!

Alguém me pode dar uma ajuda? Já googlei mas não faço ideia de como configurar isto!

Pergunta 1:

Altera o /etc/motd, verifica que o .conf está a ir o ler. Em seguida reload ao proftpd
Dependendo da versão do proftd ou metes ACL's para controlar as ranges que acedem ou então fazes por iptables.

Pergunta 2:

Cria o user
Altera o /etc/passwd de forma ao pid do user ser 0 (essa do de ser administrador tem uma logica do caralh!)
Altera o /etc/ssh/sshd_config e adiciona as seguintes linhas:

PermitRootLogin no
AllowUsers user (que adicionaste agora) em seguida faz reload ao sshd

petersaints · 19 de Dezembro de 2007

Amanhã já testo em VirtualBox para depois usar numa máquina a sério na Sexta

Thanks

petersaints · 20 de Dezembro de 2007

Uma pergunta como é que meto a message'm de boas vindas após o login?? (Já agora estou a usar uma versão standalone do proftpd) e como abro a porta 20 na firewall (por defeito só deixa a 21).

petersaints · 20 de Dezembro de 2007

Só não sei abrir a porta 20 já consegui o resto, mas já agora expliquem-me melhor isso do ACL para eu não ter de editar o hosts.allow e hosts.deny... é que de iptables eu não percebo nada!

Quanto ao SSH já vou tentar a seguir

xupetas · 20 de Dezembro de 2007

experimenta através da interface fwbuilder para os iptables

petersaints · 20 de Dezembro de 2007

Já consegui pelo FireStarter depois de andar a tentar perceber aquilo!! Bem consegui tudo excepto testar se não se conseguia aceder de fora da LAN porque está tudo dentro da minha LAN caseira LoL

Amanhã já levo o trabalho feito é só repetir

kosmic · 20 de Dezembro de 2007

Uma sugestão instalar serviços sem conhecimentos básicos sobre o mesmo é estar a pedir por problemas, basta algo mal configurado, para poderes vir a sofrer consequências de um script kid qualquer.

como sugestão aconselho-te a ler sobre Chaves DSA e RSA com o SSH é muito mais seguro que utilizador palavras passes.

Deves também configurar a firewall para cortar a ligação a ips que tentem varios nomes de utilizadores...isto se não usares chaves...

slack_guy · 20 de Dezembro de 2007

como sugestão aconselho-te a ler sobre Chaves DSA e RSA com o SSH é muito mais seguro que utilizador palavras passes.

Quão 'muito mais seguro'?
Por exemplo: aqui no estaminé, todos os acessos (SSH) de fora para dentro são feitos via password (claro que _não_ temos o SSHD à escuta no porto 22...), e todos os (poucos) acessos internos aos servidores são feitos com chaves. Ou seja, se um portátil é roubado não temos a dor de cabeça com o problema da chave privada andar sabe deus onde...

xtr3me · 20 de Dezembro de 2007

slack_guy disse:
Quão 'muito mais seguro'?
Por exemplo: aqui no estaminé, todos os acessos (SSH) de fora para dentro são feitos via password (claro que _não_ temos o SSHD à escuta no porto 22...), e todos os (poucos) acessos internos aos servidores são feitos com chaves. Ou seja, se um portátil é roubado não temos a dor de cabeça com o problema da chave privada andar sabe deus onde...

Muito mais seguro.

O DSA (evolução do RSH para a versão 2 do protocolo SSH) é um protocolo de autenticação bastante seguro.

O facto de teres configurado o ssh noutra porta ajuda, mas mesmo assim para uma empresa devias usar o DSA.

slack_guy · 21 de Dezembro de 2007

Muito mais seguro.
O DSA (evolução do ~~RSH~~ RSA para a versão 2 do protocolo SSH) é um protocolo de autenticação bastante seguro.
O facto de teres configurado o ssh noutra porta ajuda, mas mesmo assim para uma empresa devias usar o DSA.

Parece-me que estamos em ondas diferentes :-)
Confesso que não sou versado em criptografia, mas pelo que aprendi, DSA e RSA são algoritmos bastante seguros e nunca ouvi dizer que um é, em geral, qualitativamente superior ao outro. Claro que posso estar enganado (e estou sempre disponível para aprender) mas tanto quanto sei RSA é mais rápido na verificação enquanto que DSA é mais rápido na assinatura. Ou seja, não compreendo porque é que dizes que para uma empresa é preferível DSA em vez de RSA (estamos a falar de SSH).

O que eu estava a referir no post anterior é que, se meto a minha chave privada (RSA|DSA) num portátil - e tenho um (ou mais) servidores que autenticam apenas com base nas chaves - e esse portátil é roubado por alguém que perceba minimamente do assunto, posso ter o caldo entornado... Por isso é que disse: se está fora, 'mete a password'; se está dentro, 'mete a chave' :-)

xtr3me · 21 de Dezembro de 2007

slack_guy disse:
Parece-me que estamos em ondas diferentes :-)
Confesso que não sou versado em criptografia, mas pelo que aprendi, DSA e RSA são algoritmos bastante seguros e nunca ouvi dizer que um é, em geral, qualitativamente superior ao outro. Claro que posso estar enganado (e estou sempre disponível para aprender) mas tanto quanto sei RSA é mais rápido na verificação enquanto que DSA é mais rápido na assinatura. Ou seja, não compreendo porque é que dizes que para uma empresa é preferível DSA em vez de RSA (estamos a falar de SSH).

O que eu estava a referir no post anterior é que, se meto a minha chave privada (RSA|DSA) num portátil - e tenho um (ou mais) servidores que autenticam apenas com base nas chaves - e esse portátil é roubado por alguém que perceba minimamente do assunto, posso ter o caldo entornado... Por isso é que disse: se está fora, 'mete a password'; se está dentro, 'mete a chave' :-)

Eu não estava a referir o DSA sobre o RSA, mas sim a autenticação baseada num destes algoritmos ao invés da password.

E se assim for, como o DSA é considerado mais seguro ... foi apenas o que disse.

Não estava a sugerir o DSA especificamente por ser uma empresa, implicando que o RSA seria melhor para outras utilizações.

Quanto ao resto, sim, tens o problema de se te roubarem o portátil, mas com a password é mais fácil comprometer a rede.

Por isso acho que no caso das empresas, se a sensibilidade do material o justificar, há que aplicar os métodos mais seguros.

EDIT: quando fiz quote ao teu post (na minha outra reply) não reparei que não eras o user do post inicial.

slack_guy · 21 de Dezembro de 2007

mas com a password é mais fácil comprometer a rede.

errr.... não percebi. Referes-te a 'brute force'? se é isso, o 'kosmic' já tinha referido que "Deves também configurar a firewall para cortar a ligação a ips que tentem varios nomes de utilizadores". Não disse nada sobre isto porque estou de acordo (ou melhor: estou mais ou menos de acordo, depende da forma como é implementado).

EDIT: quando fiz quote ao teu post (na minha outra reply) não reparei que não eras o user do post inicial.

no problem.

kosmic · 21 de Dezembro de 2007

slack_guy disse:
Parece-me que estamos em ondas diferentes :-)
Confesso que não sou versado em criptografia, mas pelo que aprendi, DSA e RSA são algoritmos bastante seguros e nunca ouvi dizer que um é, em geral, qualitativamente superior ao outro. Claro que posso estar enganado (e estou sempre disponível para aprender) mas tanto quanto sei RSA é mais rápido na verificação enquanto que DSA é mais rápido na assinatura. Ou seja, não compreendo porque é que dizes que para uma empresa é preferível DSA em vez de RSA (estamos a falar de SSH).

O que eu estava a referir no post anterior é que, se meto a minha chave privada (RSA|DSA) num portátil - e tenho um (ou mais) servidores que autenticam apenas com base nas chaves - e esse portátil é roubado por alguém que perceba minimamente do assunto, posso ter o caldo entornado... Por isso é que disse: se está fora, 'mete a password'; se está dentro, 'mete a chave' :-)

Cada utilizador pode ter uma chave privada para autenticar na mesma conta, o portátil é roubado, simples REVOGA-SE a chave e cria-se outra para o mesmo cliente.

Evita-se o problema de tentativas de script kids contra portas SSH com passwords

slack_guy · 21 de Dezembro de 2007

Evita-se o problema de tentativas de script kids contra portas SSH com passwords

Esse problema evita-se tão facilmente com a mudança do porto... Há anos que não tenho nos logs qualquer tentativa de entrada por SSH.

kosmic · 21 de Dezembro de 2007

Se tiveres dados mesmo muito importantes...não é uma alteração de porta do SSH que te vai salvar...continuo a afirmar se a segurança está em primeiro lugar não utilizar SSH com passwords.

São os meus 2 cêntimos...

Mas como digo é sempre bom ouvir opiniões diferentes.

xtr3me · 22 de Dezembro de 2007

slack_guy disse:
errr.... não percebi. Referes-te a 'brute force'? se é isso, o 'kosmic' já tinha referido que "Deves também configurar a firewall para cortar a ligação a ips que tentem varios nomes de utilizadores". Não disse nada sobre isto porque estou de acordo (ou melhor: estou mais ou menos de acordo, depende da forma como é implementado).

Brute force é o método menos refinado ...

Já agora, como consegues esse tipo de configuração de firewall ? É que as regras de firewall são relativamente restritivas e rígidas. Esse tipo de verificação tem uma série de condicionantes e de regras que não são muito fáceis de implementar (se forem sequer possíveis). Estou a falar de uma firewall implementada com base em IPTABLES, uma vez que de firewalls profissionais (CISCO, etc) não tenho muito conhecimento prático.

Via esse tipo de verificações mais noutro tipo de sistemas como IPS ou IDS.

kosmic · 22 de Dezembro de 2007

Sim podes sempre cortar o acesso pela firewall de muitas tentativas, IPTABLES, IPFW ou uma por hardware CISCO.

O controlo para mim é mais facil por Chave DSA ou RSA.

Aqui não podes ter um cliente a dizer ai... a minha password "Maria" toda a minha familia sabe, tinha aqui arquivos e agora desapareceram...

Com uma chave DSA/RSA para alem de ser preciso a chave para poderes ao menos comunicares com o sistema ainda tens que inserir a password dessa mesma chave... Ai é mais facil apurar responsabilidades e ter a certeza que o sistema está mais seguro.

Passas a ter 2 camadas de segurança em vez de 1 apenas com a password, e podes na mesma ainda ter uma firewall a limitar o acesso (de que gamas/ips é que podem ser efectuadas as ligações SSH)...

ProFTPd e SSH

petersaints

Power Member

xupetas

Banido

petersaints

Power Member

petersaints

Power Member

petersaints

Power Member

xupetas

Banido

petersaints

Power Member

kosmic

Power Member

slack_guy

Power Member

xtr3me

Power Member

slack_guy

Power Member

xtr3me

Power Member

slack_guy

Power Member

kosmic

Power Member

slack_guy

Power Member

kosmic

Power Member

xtr3me

Power Member

kosmic

Power Member