Uma boa prática de segurança é limitar acessos SSH aos servidores, há várias formas de fazer e logar os acessos, nesse exemplo vamos utilizar uma velha ferramenta do GNU/Linux, TCP Wrappers.
De forma resumida, o TCP Wrappers é uma biblioteca com objetivo de criar controles de acessos sobre serviços TCP, ele trabalha com dois arquivos, hosts.allow e hosts.deny, as regras são definidas sobre esses arquivos.
Quando fazemos uma conexão SSH por exemplo, o TCP Wrapper vai analisar primeiramente o hosts.allow e verificar se a conexão é permitida, se o host (sourcE) não estiver presente no arquivo ele vai analisar o hosts.deny procurando alguma regra de bloqueio (por exemplo um ALL ou bloqueio do host específico). Nesse post vamos verificar como bloquear SSH com envio de e-mail e liberando o acesso somente para IP's específicos.
O primeiro passo é editar o arquivo hosts.allow, como abaixo.
#
# hosts.allow This file describes the names of the hosts which are
# allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#
sshd : [ Endereços liberados para acesso ]
Logo após, editamos o hosts.deny:
#
# hosts.deny This file describes the names of the hosts which are
# *not* allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#
sshd : ALL : spawn /bin/echo "$(hostname) - SSH - Acesso DENY - Client %h" |mailx -s "$(hostname) - SSH - Acesso DENY - Client %h" mail1@mail.com,mail2@mail.com
Estamos dizendo para o TCP Wrapper bloquear todos os acessos e enviar um e-mail a cada bloqueio. É possível adicionar vários e-mails bastando adicionar a ",". Também é possível utilizar "expansões", com o "%h" estamos falando para inserir o IP do cliente.
Exemplo do e-mail enviado:
server.hostname.com - SSH - Acesso DENY - Client 192.168.1.40
Claro, também é possível criar um "spawn" para envio de e-mails no hosts.allow.
O TCP Wrappers é um velho conhecido pelos administradores *nix porém pouco utilizado e explorado, a dica acima é um bom começo para incentivar a utilização e estudo da ferramenta.
Segue dicas de leitura:
http://www.cyberciti.biz/faq/tcp-wrappers-hosts-allow-deny-tutorial/
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-Server_Security.html
Abraços!
-
Abaixo comandos básicos para criação de objetos via CLI no FG. Para acessar as configurações de objeto config firewall address Podemos d... -
Uma boa prática de segurança é limitar acessos SSH aos servidores, há várias formas de fazer e logar os acessos, nesse exemplo vamos utiliz...
-
Eis que nasce um novo recurso para monitoramento e bloqueio de Ransomware, o RansomWareTracker. O RansomWareTracker é um projeto criado e... -
Essa dica é para remover uma entrada cache DNS no Windows Server, muito útil caso algum site troque o IP e você fique sem acesso pela demora... -
O sFlow é uma ferramenta para coleta de fluxos de dados, esses fluxos coletados são chamados de samples e podem ser exportados para ferrame... -
Breve resumo dos principais LSAs do OSPF. - LSA tipo 1 - - Gerado por todos os roteadores e são locais (dentro da área) - O ID do pacote...
-
Essa dica é para trabalhar com logs em switches HP e 3com, redirecionado os logs para um servidor syslog. O syslog é uma ótima forma para ... -
Surgiu uma necessidade para fazermos uma rota sair por outra operadora no nosso quagga porém sem usar rota estática. Há algumas formas de fa... -
Fiz testes e uma falha de segurança do HP data protector com o exploit do link abaixo e o mesmo funcionou corretamente. Fica o alerta para ...
0 comentários:
Postar um comentário