Porta rj-45 apenas aceita ligação de um pc em específico

ede_linux
(usa Ubuntu)

Enviado em 18/10/2016 - 20:38h

Olá a todos,

Possuo um servidor ubuntu. Pelo menos uma vez por semana vou precisar de aceder ao servidor via ssh. Para uma maior segurança pretendo fazê-lo via cabo crossover. Assim não tenho que o ligar na rede!

Nunca fiz uma ligação via crossover num servidor ubuntu, mas penso que seja simples! Bastará que configure um ip diferente em casa pc e já tenho ligação. Penso que seja isto!

Mas a minha dúvida prende-se no seguinte: é possível configurar a porta de rede, rj-45, de forma a que apenas aceite ligações de um pc especifico? Neste caso o que vai ligar via crossover? Porque o que me preocupa é caso alguém ligue-se com um cabo crossover e possa tentar derrubar o sistema!
Ok, terá que saber a pass e o user mas...tem sempre um ponto de ligação.

Obrigado

R3nan
(usa Debian)

Enviado em 18/10/2016 - 21:41h

o loco quanta preocupação com segurança em amigo! outra pessoa vai ter acesso físico para poder usar o cabo cross? desative o acesso root por ssh e use senhas fortes para os usarios que tudo ficará bem, vc pode tb liberar apenas um ip pelo iptables

ede_linux
(usa Ubuntu)

Enviado em 18/10/2016 - 22:48h

Ok, vamos com calma que não consegui acompanhar :)

Sim, outra e qualquer pessoa poderá ter acesso ao cabo crossover!
Como esta máquina não terá ecra nem teclado/rato não posso desactivar o acesso via ssh, pois senão eu não consigo aceder à máquina. A ideia do cabo crossover seria chegar junto do pc, ligar o cabo e conectar.

o que posso fazer é ter apenas dois utilizadores. O root, com uma senha forte e um user comum, apenas com acesso 777, uma vez que vai ter que executar scripts.
Posso ate restringir o acesso deste user apenas a uma pasta especifica, certo?

A funcionalidades do iptables como devo colocar a funcionar?Aconselha a alguma leitura de artigos ou pesquisar (como)?

Tem outras ideias?
Obrigado

R3nan
(usa Debian)

Enviado em 19/10/2016 - 09:24h

Então amigo, o iptables é um front end do netfilter que te auxilia para criar regras de entrada e saída em um servidor, você pode bloquear acesso de todos os ips na porta 22 ssh e liberar apenas ao ip que você quiser. comece lendo aqui https://www.vivaolinux.com.br/artigo/Iptables-detalhado
Curiosidade: você é de Portugal ? Pergunto por que algumas palavras em suas perguntas sugere que sim, mas isso é só uma curiosidade...

removido
(usa Nenhuma)

Enviado em 19/10/2016 - 09:56h

Não seria melhor amarrar ao MAC address da placa do outro computador?

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

ede_linux
(usa Ubuntu)

Enviado em 19/10/2016 - 10:36h

Olá,

Sim dou de Portugal :) Abraço deste lado do oceano!

Já estive a ler o artigo: https://www.vivaolinux.com.br/artigo/Iptables-detalhado?pagina=2
mas a resposta ao comando que tive ao comando foi:

user@user:~$ iptables -L

modprobe: ERROR: could not insert 'ip_tables': Operation not permitted

iptables v1.6.0: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)

Perhaps iptables or your kernel needs to be upgraded.

 

Que artigo recomendam para aprender a funcionar com esta ferramenta?

Pelo que li o iptables também poder bloquear via mac, certo?

Nota: para maior segurança, e para termos didáticos, também era interessante criar uma firewall e activar um antivirus, certo?

Obrigado

R3nan
(usa Debian)

Enviado em 19/10/2016 - 11:10h

você tem que usar o iptables -L logado como root

ede_linux
(usa Ubuntu)

Enviado em 19/10/2016 - 11:45h

O resultado foi diferente,

Vou explorar melhor a ferramenta para perceber melhor com isto funciona!

ede_linux
(usa Ubuntu)

Enviado em 19/10/2016 - 12:14h

Estive a ler este artigo: https://www.vivaolinux.com.br/artigo/Como-criar-um-firewall-de-baixo-custo-para-sua-empresa
e fiquei mais esclarecido.

Pelo que percebo bastará configurar, conforme os artigos e ninguém entra na máquina, a não ser aqueles que eu configure para entrar. Isso é que ainda não percebi bem, pois o que percebi é que o "bloqueio" funciona para os pacotes vindos da internet! Tenho que reler!

Mas resumo da opera, o iptables é a melhor solução no que toca a segurança via porta rj-45? Ok, sei que afirmar que é a melhor é um pouco precipitado, talvez, mas das ferramentas que existem esta é a melhor para aguentar ataques de pessoas comuns? Não estamos a falar obviamente de ataques da NSA ou de um grupo forte de hackers :P

Curiosidade: O R3nan pergunto se eu era de Portugal! A minha escrita é assim tão diferente? :)

R3nan
(usa Debian)

Enviado em 19/10/2016 - 12:53h

sim, o iptables é no meu ponto de vista a melhor solução, regras na chain INPUT blqueia acesso na lan e na internet.

um exemplo:
iptables -P INPUT DROP #isso irá bloquear todo trafego de entrada para qualquer protocolo e porta o -P é altera a politica padrão nesse acaso para DROP (dropa os pacotes)

iptables -I INPUT -p tcp -s 192.168.0.2 --dport 22 -j ACCEPT #isso ira liberar para o host com ip 192.168.0.2 o acesso ao ssh

Curiosidade: algumas palavras que você escreveu no Brasil nos usamos outras, exemplos: pt-PT - pt-BR / ecra - monitor / desactivar - desativar / aceder - acessar / utilizadores - usuários

mas da pra entender pefeitamente ;)

ede_linux
(usa Ubuntu)

Enviado em 24/11/2016 - 10:09h

Olá,

Estou de volta a este assunto.
Coloquei aqui (https://www.vivaolinux.com.br/topico/Servidores-Linux-para-iniciantes/Rj45-nao-acorda-com-ligacao-directa-entre-maquinas) uma questão, se poderem ajudar.

Nos próximos dias vou dedicar mais tempo a este assunto (firewall e endereços mac)
Obrigado