SSH [RESOLVIDO]

geraldoquites
(usa Suse)

Enviado em 21/08/2010 - 20:11h

configurei meu linux para acessar atraves de uma porta diferente da 22 no meu SSH. Na minha rede interna o acesso esta legal. Quando tento acessar pela internet eu nao consigo.O que pode esta acontecendo? O meu modem esta em modo bridge e o linux faz o roteamento.

geraldoquites
(usa Suse)

Enviado em 21/08/2010 - 20:18h

estou usando o putty para acessar o ssh e ja alterei nele a porta de conexao.

Diede
(usa Debian)

Enviado em 22/08/2010 - 02:07h

Você fez a regra permitindo o acesso via web a esta porta diferente da 22 que você colocou?
Digamos que seja 2345 a porta.
Dê um "iptables -I INPUT -p tcp --dport 2345 -j ACCEPT" e veja no que dá...

irado
(usa XUbuntu)

Enviado em 22/08/2010 - 09:35h

como vc acessa a partir da sua rede interna é provável que já tenha regra permitindo (INPUT) êsse acesso porém com origem (-s) a partir de sua rede. Se for o caso, procure essa regra e altere-a para permitir acesso universal (-s 0/0).

coloque aqui o resultado do seguinte comando:

$ netstat -nlpt

geraldoquites
(usa Suse)

Enviado em 22/08/2010 - 09:46h

Obrigado a todos pelas respostas, mas o Diede tinha razao, eu nao tinha liberado a porta xxxx no meu linux, ai todas chamadas na porta ele bloqueava. Problema resolvido. Sequenciando aminha seguranca EXTERNA no uso do SSH, exite a possibilidade do meu servidor aceitar somente o meu IP externo? se possivel eu posso criar um lista de IPs externos autorizados? Eu ja adicionei no meu /etc/ssh/sshd_config uma lista de usuarios permitidos.

irado
(usa XUbuntu)

Enviado em 22/08/2010 - 12:05h

existem vários modos de vc aumentar a segurança dêsse acesso:

pelo iptables vc (que já abriu a porta) deve definir a origem permitida (-s ip.addr.remoto) e também deve gerar as chaves ssh (ssh-keygen) publica/privada para acesso, além de NÃO permitir acesso de root e só permitir acesso a um usuário definido (isto tudo no /etc/ssh/sshd.conf):

PermitRootLogin no
PasswordAuthentication no <--só usuário com chave PUBLICA correta terá acesso
AllowUsers user1 user2 user3... <-- só usuários autorizados conseguirão acessar

geraldoquites
(usa Suse)

Enviado em 23/08/2010 - 14:09h

Para que server a linha "ListenAdress" existente no /etc/ssh/sshd_config?

irado
(usa XUbuntu)

Enviado em 23/08/2010 - 14:24h

quem sabe o google não te responde?

só por esta vez: http://www.faqs.org/docs/securing/chap15sec122.html

geraldoquites
(usa Suse)

Enviado em 23/08/2010 - 15:27h

Amigo Irado, o google até responde várias coisas, mas aqui no vivaolinux as respostas são mais confiaveis... rs rs... O ListenAddress quando definido restringe o acesso ao o IP da placa de rede da máquina onde está instalado o linux. Isso é mais interessante para quem não quer ter o SSH com acesso pela internet, ou seja, somente dentro da propria rede. Preciso criar uma forma de ter mais segurança com o uso do SSH em acesso ao meu servidor pela internet. A minha maior intenção era colocar só o Ip da minha internet (dinamico) como ip autorizado a acessar e isso não estou conseguindo.

irado
(usa XUbuntu)

Enviado em 23/08/2010 - 15:34h

o dinâmico "vareia" pelo menos uma vez no dia; se vc desligar, "vareia" - um novo ip.addr a cada religação da máquina.

então - IMHO - deixe 0.0.0.0 mesmo e use os outros artificios de segurança (que é o que eu faço): certificados/chaves, usuário definido e não aceitação de login de root.

geraldoquites
(usa Suse)

Enviado em 23/08/2010 - 18:19h

Irado, consegui melhorar a segurança colocando o IP da máquina vinculado ao usuário, ou seja, redobrei a segurança. Um hacker saber o meu usuário, o Ip da minha máquina, minha senha de usuário e depois minha senha de root, acho muito difícil. O que eu fiz? Em etc/ssh/sshd_config - ListenAddress usuario@ip

irado
(usa XUbuntu)

Enviado em 23/08/2010 - 21:38h

"Em etc/ssh/sshd_config - ListenAddress usuario@ip "

se por um acaso vc quiser acessar de uma outra máquina, outra cidade.. não vai dar. Ainda prefiro apenas usuário e forçar a existencia de chaves; minha chave PUBLICA fica em pasta privativa em um dêsses "armazenadores virtuais" tipo lesma-manca-share (nunca foi rapidshare mesmo), se eu precisar acessar de algum lugar, baixo a chave, conecto, faço e aconteço e.. apago a chave. Ah, sem esquecer: a chave tem validação por senha FORTE, então não adianta apenas a chave ;)

enfim, vc pegou o espirito da coisa, parabéns e divirta-se :)