Sistemas em Rede

Conteúdo da Aula

SSH como método padrão de acesso

SSH a ambiente interno através de chaves
SSH através de chave e passfrase
Redirecionamento de acesso via Iptables
 Sistemas em Rede
SSH como método padrão de acesso

SSH ou Secure Shell é uma tecnologia de acesso e comunicação

segura entre dois hosts mediante o tunelamento criptografado de
uma conexão.

O SSH provê confidencialidade e integridade para dados trocados

em uma conexão através de criptografia e mensagens de
autenticação codificadas além de poder trabalhar com esquema de
chaves aumentando a confidencialidade no tráfego de dados.
 Sistemas em Rede
SSH como método padrão de acesso

Instale o pacote openssh-server no node Cliente Interno

# apt-get install openssh-server

Verifique se o serviço esta rodando

# service ssh status

Verifique se o serviço esta rodando em estado listen

# netstat -nltp | grep sshd
 Sistemas em Rede
SSH como método padrão de acesso

Altere o arquivo do servidor no node conforme abaixo

# vim /etc/ssh/sshd_config

Port 52100 ListenAddress 192.168.1.100

PermitRootLogin no
MaxAuthTries 3
MaxSessions 2
X11Forwarding no
Banner /etc/issue.net
AllowUsers analista
LoginGraceTime 120
StrictModes yes
 Sistemas em Rede
SSH como método padrão de acesso

Reinicie o serviço
# service ssh restart

Verifique o novo socket do serviço conforme suas configurações

# netstat -nltp | grep sshd

Ative o log do su no node intranet descomentando a linha 67

# vim +67 /etc/login.defs

SULOG_FILE /var/log/sulog
 Sistemas em Rede
SSH como método padrão de acesso

Instale o pacote openssh-server nos nodes Intranet e Datacenter

# apt-get install openssh-server

Verifique se o serviço esta rodando

# systemctl status ssh

Verifique se o serviço esta rodando em estado listen

# ss -nltp | grep sshd
 Sistemas em Rede
SSH como método padrão de acesso

Altere o arquivo do servidor no node Datacenter conforme abaixo

# vim /etc/ssh/sshd_config

Port 52010 ListenAddress 192.168.1.10

PermitRootLogin no
MaxAuthTries 3
MaxSessions 2
X11Forwarding no
Banner /etc/issue.net
AllowUsers analista
LoginGraceTime 120
StrictModes yes
 Sistemas em Rede
SSH como método padrão de acesso

Reinicie o serviço
# systemctl restart ssh

Verifique o novo socket do serviço conforme suas configurações

# ss -nltp | grep sshd

Ative o log do su no node intranet descomentando a linha 67

# vim +67 /etc/login.defs

SULOG_FILE /var/log/sulog
 Sistemas em Rede
SSH como método padrão de acesso

Teste o aceso ssh do node Interno para o node Intranet via IP

# ssh -p 52010 -l analista 192.168.1.10
# ssh -p 52010 analista@192.168.1.10

Acessando por resolução de nomes em hosts ou DNS

# ssh -p 52010 -l analista intranet.asf.com
# ssh -p 52010 -l analista intranet
# ssh -p 52010 analista@intranet.asf.com
# ssh -p 52010 analista@intranet
 Sistemas em Rede
SSH como método padrão de acesso

Suba para root via su após o acesso SSH

$ su -

Analise o log do su em tempo real via tty node Intranet

# tail -f /var/log/sulog

Retorne ao usuário analista e execute novamente o su em Intranet

# exit
$ su -
 Sistemas em Rede
SSH em ambiente interno através de chaves

Crie uma chave criptográfica com o usuário analista no node

Interno para reforçar a segurança no acesso via SSH, defina a
senha como LinuxForce00

$ ssh-keygen -t rsa -b 2048 -C analista@interno.asf.com

Verifique o conteúdo de suas chaves privada e pública

$ cat .ssh/id_rsa.pub
$ cat .ssh/id_rsa
 Sistemas em Rede
SSH em ambiente interno através de chaves

Importe a chave para o node Intranet

$ ssh-copy-id -i ~/.ssh/id_rsa.pub "analista@192.168.1.10 -p 52010"

Teste o acesso ao node, lembre-se da passphrase da chave

$ ssh intranet -p 52010

Envie via scp os arquivos criados para banners de acesso

$ scp -P 52010 /etc/issue analista@192.168.1.10:/home/analista
$ scp -P 52010 /etc/issue.net analista@192.168.1.10:/home/analista
$ scp -P 52010 /etc/motd analista@192.168.1.10:/home/analista
 Sistemas em Rede
SSH em ambiente interno através de chaves

Acesse o node intranet via ssh, suba para root e copie os arquivos
enviados via scp para o destino /etc/, não esqueça de verificar se o
dono e o grupo primário dos arquivos pertence ao usuário root.

$ ssh intranet -p 52010

$ su -
# cp /home/analista/issue* /etc/
# cp /home/analista/motd /etc/
# ls -lh /etc/ | egrep 'issue|motd'
# chown root: /etc/issue* && chown root: /etc/motd
 Sistemas em Rede
SSH em ambiente interno através de chaves

Importe a chave do node Cliente Interno para o node datacenter

$ ssh-copy-id -i ~/.ssh/id_rsa.pub analista@datacenter.asf.com

Envie via scp os arquivos criados para banners de acesso

$ scp /etc/issue analista@192.168.1.20:/home/analista
$ scp /etc/issue.net analista@192.168.1.20:/home/analista
$ scp /etc/motd analista@192.168.1.20:/home/analista

Acesse o node datacenter

$ ssh datacenter
 Sistemas em Rede
SSH em ambiente interno através de chaves

Suba para root e copie os arquivos enviados via scp para o destino
/etc/, não esqueça de verificar se o dono e o grupo primário dos
arquivos pertence ao usuário root.

$ su -
# cp /home/analista/issue* /etc/
# cp /home/analista/motd /etc/
# ls -lh /etc/ | egrep 'issue|motd'
# chown root: /etc/issue* && chown root: /etc/motd
 Sistemas em Rede
SSH em ambiente interno através de chaves

Altere o arquivo do servidor no node Datacenter conforme abaixo

# vim /etc/ssh/sshd_config

Port 52020 ListenAddress 192.168.1.20

PermitRootLogin no
MaxAuthTries 3
MaxSessions 2
X11Forwarding no
Banner /etc/issue.net
AllowUsers analista
LoginGraceTime 120
StrictModes yes
 Sistemas em Rede
SSH em ambiente interno através de chaves

Reinicie o serviço
# systemctl restart ssh

Verifique o novo socket do serviço conforme suas configurações

# ss -nltp | grep sshd

Ative o log do su no node intranet descomentando a linha 67

# vim +67 /etc/login.defs

SULOG_FILE /var/log/sulog
 Sistemas em Rede
SSH em ambiente interno através de chaves

Por padrão o CentOS já é instalado com os erviço SSH habilitado,

verifique o serviço esta rodando em sua porta padrão nos nodes
Gateway e Storage através do node Cliente Interno

$ nc -v 192.168.1.1 22
$ nc -v 192.168.1.30 22

Envie sua chave para os nodes

$ ssh-copy-id -i .ssh/id_rsa.pub analista@192.168.1.1
$ ssh-copy-id -i .ssh/id_rsa.pub analista@192.168.1.30
 Sistemas em Rede
SSH em ambiente interno através de chaves

Copie os arquivos issue, issue.net e motd para os nodes CentOS

$ scp /etc/issue analista@192.168.1.1:/home/analista

$ scp /etc/issue.net analista@192.168.1.1:/home/analista
$ scp /etc/motd analista@192.168.1.1:/home/analista

$ scp /etc/issue analista@192.168.1.30:/home/analista

$ scp /etc/issue.net analista@192.168.1.30:/home/analista
$ scp /etc/motd analista@192.168.1.30:/home/analista
 Sistemas em Rede
SSH em ambiente interno através de chaves

Acesse o node gateway e suba para root

$ ssh gateway
$ su -

Verifique o status do serviço sshd, seu log de autenticação e porta

# systemctl status sshd -l

Encontre o pacote responsável pelo serviço sshd

# rpm -q openssh-server
 Sistemas em Rede
SSH em ambiente interno através de chaves

Copie os arquivos enviados via scp para o destino /etc/, não

esqueça de verificar se o dono e o grupo primário dos arquivos
pertence ao usuário root.

# cp /home/analista/issue* /etc/
# cp /home/analista/motd /etc/
# ls -lh /etc/ | egrep 'issue|motd'
# chown root: /etc/issue* && chown root: /etc/motd
 Sistemas em Rede
SSH em ambiente interno através de chaves

Altere o arquivo do servidor conforme abaixo

# vim /etc/ssh/sshd_config

Port 52001 ListenAddress 192.168.1.1

PermitRootLogin no
MaxAuthTries 3
MaxSessions 2
X11Forwarding no
Banner /etc/issue.net
AllowUsers analista
LoginGraceTime 120
StrictModes yes
 Sistemas em Rede
SSH em ambiente interno através de chaves

Reinicie o serviço
# systemctl restart ssh

Verifique o novo socket do serviço conforme suas configurações

# ss -nltp | grep sshd

Saia do node Gateway, logue no node Storage e suba a root

$ ssh storage
$ su -
 Sistemas em Rede
SSH em ambiente interno através de chaves

Copie os arquivos enviados via scp para o destino /etc/, não

esqueça de verificar se o dono e o grupo primário dos arquivos
pertence ao usuário root.

# cp /home/analista/issue* /etc/
# cp /home/analista/motd /etc/
# ls -lh /etc/ | egrep 'issue|motd'
# chown root: /etc/issue* && chown root: /etc/motd
 Sistemas em Rede
SSH em ambiente interno através de chaves

Altere o arquivo do servidor conforme abaixo

# vim /etc/ssh/sshd_config

Port 52030 ListenAddress 192.168.1.30

PermitRootLogin no
MaxAuthTries 3
MaxSessions 2
X11Forwarding no
Banner /etc/issue.net
AllowUsers analista
LoginGraceTime 120
StrictModes yes
 Sistemas em Rede
SSH em ambiente interno através de chaves

Reinicie o serviço
# systemctl restart ssh

Verifique o novo socket do serviço conforme suas configurações

# ss -nltp | grep sshd

Adicione a liberação da porta no firewalld de forma volátil e estática

# firewall-cmd --zone=public --add-port=52030/tcp
# firewall-cmd --zone=public --permanent --add-port=52030/tcp
# systemctl restart firewalld