NOTA: Todas as informações apresentadas neste artigo foram obtidas na Internet, sendo assim, não ofereço nenhum tipo de garantia ou suporte. Não nos responsabilizamos por qualquer dano ocorrido, tanto na máquina (computador) quanto no software. Siga por sua conta e risco.

O que é SSH

SSH ou Secure Shell é um tipo de serviço que nos permite acessar outra máquina remotamente. É um aplicativo de linha de comando, o que permite total acesso às facilidades do servidor remoto.

Porque o SSH tem segurança

Conhecem o TELNET? O SSH é bem parecido, só que usa criptografia, para garantir o sigilo das conexões.

A criptografia:

O SSH utiliza sua criptografia com chaves privadas e públicas. Isso dificulta o roubo de dados durante a conexão cliente/servidor. Já pensou, alguém acessando os arquivos, dados senhas da sua casa ou da sua empresa? Isso acontece muito e na maioria das vezes quem tem esses dados capturados por um cracker não sabe o que se passa e quando se dá conta, o problema já está formado.

Os ataques força bruta (brute force):

O mais popular ataque usando SSH é o famoso brute force. Este tipo de ataque ocorre quando alguém (cracker) cria um software que envia várias senhas até um servidor para tentar obter acesso. Essas senhas ficam geralmente em um arquivo de lista ou em um arquivo de texto. Geralmente estes arquivos contém muitas senhas, não raro mais de 10.000. Esta estratégia consiste em experimentar as senhas, uma a uma, até acertar e obter o acesso privilegiado.

Existem diversas formas de se proteger deste tipo de ataque, mas estas técnicas não serão abordadas neste artigo. Em artigos futuros, abordarei técnicas de segurança em SSH.

Instalando o SSH

Você pode obter o SSH em:

• ftp://ftp.ssh.com/pub/ssh/

Para fazer o download, emita o comando:

# wget ssh.tar.gz

Em seguida, descompacte o arquivo:

# tar -zxvf ssh.3.2.9.1.tar.gz

Vá até o diretório criado:

# cd ssh-.3.2.9.1

Para instalar, digite os comandos abaixo:

# ./configure
# make

Para quem usa Debian ou alguma distribuição baseada em Debian apenas use:

# apt-get install openssh-server

Para testar, digite o comando:

$ ssh usuario@localhost

PS: "usuário" é o nome de um usuário válido em seu sistema. Será solicitada a senha. Após o fornecimento da senha, aparecerá a seguinte tela: Se a sua tela apresentar resultados similares, é sinal de que tudo funcionou perfeitamente.

[1] Comentário enviado por pardalz em 07/04/2010 - 08:51h:

meu 1% de contribuição para o seu belo artigo.
se vc usa Windows, vc pode se conectar com o Putty que pode ser obtido em www.putty.org
se vc usa linux vc pode se conectar dessa forma tambem: ssh 200.200.200.200 -l Usuario -p Porta
onde 200.200.200.200 = Ip da maquina remota
Usuário = seu usuario do computador remoto
Porta = se a porta for diferente de 22, precisa especificar com o comandoo -p

Vale lembrar tambem que tem uma opção no arquivo sshd_config.conf na linha que está escrito "permitrootlogin" deixar como "no" seria interessante.

abraços

[2] Comentário enviado por kuramoto em 07/04/2010 - 12:25h:

Muito bom o Artigo, realmente o SSH é uma mão na roda quando precisamos fazer uma conexão remota ao servidor.

Porém, seria bem interessante alterar a porta padrão do SSH. Colocar uma porta alta, onde fogem um pouco dos scans de rede. (nmap por exemplo).

Obs.: Posso ter falado alguma besteira, ou seja, fiquem a vontade para me esclarecerem.

Vlw!!!
[]'s

[3] Comentário enviado por luizvieira em 07/04/2010 - 14:07h:

Acrescentando ao que foi dito pelo kuramoto.
É mais interessante ainda alterarmos a porta padrão de conexão quando vamos trabalhar com roteamento: por exemplo, em minha residência tenho um roteador wireless, o encaminhamento do roteador para meu PC não é feito pel porta 22, mas sim por outra, o que tbm permite termos várias máquina acessíveis por SSh através de um mesmo roteador, simplesmente usando portas diferentes no encaminhamento.

Outra coisa importante que pode aumentar a segurança do SSH é a utilização de ferramentas que identificam o cliente, tais como chave criptográfica, FWKnop (caso estejamos por detrás de um friewall) e etc.

[ ]'s

[4] Comentário enviado por #essence. em 07/04/2010 - 16:14h:

Como eu posso através de um computador qualquer (que tenha SSH) acessar meu PC la de casa?

# ssh essence@192.168.xxx.xxx ?

minha máquina precisa estar ligada? (tá, foi uma pergunta besta, mas enfim...)

Valeu!

[5] Comentário enviado por bino28 em 07/04/2010 - 17:39h:

Excelente Artigo.

Quando chegar em casa eu irei fazer o teste.

[] 's

[6] Comentário enviado por tatubhz em 07/04/2010 - 19:34h:

Além disso podemos colocar no firewall(no caso iptables com politica padrão de INPUT DROP) algumas linhas como abaixo descritas, dessa forma irá fazer logs de todos os acessos externos e irá fazer log e bloquear o IP que tente o acesso mais de 3 vezes sem sucesso. Além disso acho interessante também alterar a porta para uma porta alta afim de evitar que port scans na sua forma default não o detectem.

iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --set --name SSH --rsource
iptables -A INPUT -i eth1 -p tcp -m tcp --dport 22 -m recent --rcheck --seconds 120 --name SSH --rsource -j LOG --log-prefix "SSH_EXT: "
iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --rcheck --seconds 120 --hitcount 3 --name SSH --rsource -j LOG --log-prefix "SSH_PASS:"
iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --rcheck --seconds 120 --hitcount 3 --name SSH --rsource -j DROP
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

[7] Comentário enviado por thiagossj4 em 07/04/2010 - 21:40h:

Uma boa opção para incluir no sshd_config é o "AllowUsers", essa opção serve para permitir acesso somente de alguns usuarios do sistema, exemplo:

para permitir que somente o usuario carlos e pedro acessem voce inclui

AllowUsers carlos pedro

Caso queira que carlos acesse do computador server01 e os demais usuarios, pedro e joao de qualquer maquina

AllowUsers carlos@server01 pedro joao

Essa opção é interessante porque cada serviço do linux existe um usuario e caso o invasor tente um "ssh brute force" pode cabar acessando com um dos usuarios

[8] Comentário enviado por andrezc em 08/04/2010 - 22:57h:

Obrigado a todos que contribuíram com complemento que melhorasse a segurança e concluísse com sucesso este artigo. Obrigado também pela leitura.

Abraços.

[9] Comentário enviado por #essence. em 09/04/2010 - 14:46h:

Como eu posso através de um computador qualquer (que tenha SSH) acessar meu PC la de casa?

# ssh essence@192.168.xxx.xxx ?

minha máquina precisa estar ligada? (tá, foi uma pergunta besta, mas enfim...)

[10] Comentário enviado por andrezc em 11/04/2010 - 13:46h:

Isso mesmo...

# ssh usuario@ip_do_servidor

e sim, sua máquina deve estar ligada.

[11] Comentário enviado por nandodutra em 26/04/2010 - 16:49h:

Muito bom o artigo, eu já uso o ssh para obter acesso remoto a minha máquina lá em casa, é uma mão na roda, isso por que posso realizar tarefas sem está em frente ao micro, utilizo muito para realizar downloads.
Vale lembra que o ssh também ajuda muito na hora de enviar arquivos para servidores web, frequentemente tenho a necessidade de enviar um lote muito grande de arquivos, o que levaria um tempo enorme usando um cliente de ftp, para resolver este problema eu envio os arquivos compactados via ssh para o servidor e posteriormente também via ssh descompacto os arquivos. Isto realmente poupa muito tempo.

[12] Comentário enviado por meinhardt_jgbr em 28/04/2010 - 15:41h:

A excelente distro Firewall BrazilFw, usa amplamente o ssh para gerenciamento e configuração dos parâmetros de operação tanto em ambiente de rede Linux como com Windows.

Excelente seu artigo.

Parabéns!!