[FUG-BR] Dúvidas de acesso SSH ao FreeBSD 9.1RCX

[Paulo Henrique]

Em 21 de novembro de 2012 09:12, Jose Nilton <jniltinho em gmail.com> escreveu:

> Tenho algumas duvidas quanto o ambiente no FreeBSD,
>
> Por padrão o root não tem acesso SSH ao Servidor correto, a gente tem que
> editar o arquivo /etc/ssh/sshd_config, descomentar a linha e colocar yes,
> E reiniciar o programa.
>
> Outra coisa ao adicionar o usuário ele não tem privilegio de executar o
> comando su -, para acessar o root
> Tem alguma segurança que desabilita isso ?
>
> Por default o root vem com shel csh, e o usuário sh, o csh é melhor que o
> sh ?
>
>
> Desculpe as perguntas bobas, coisa de iniciante.
>
>
> Desde já agradeço.
>
> --
>
> ..............................................................................
> *Com Deus todas as coisas são possíveis* :::
> LinuxPro<http://www.linuxpro.com.br>
>
> *"A qualidade nunca se obtém por acaso; ela é sempre o resultado do esforço
> inteligente." (John Ruskin)
> "A mente que se abre a uma nova ideia jamais volta ao seu tamanho original"
> (Albert Einstein)*
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Primeiro, não habilita ssh para root, evitará fatos de lamers dizendo
"consegui acesso root em um freebsd" isso degride a imagem do sistema, ao
contrario cria um usuario coloca ele nos grupos sshd e wheel, assim poderá
acessar o ssh e executar o su.
No sshd_config, descomente/altere a linhas:

#Port 22
#ListenAddress 0.0.0.0
#LoginGraceTime 2m
#PermitRootLogin no
#Protocol 2
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#PasswordAuthentication no
#PermitEmptyPasswords no


Para

Port 6666
 # vai evitar muitos brute-forces, os moleques parece que nem sabem usar
nmap e configurar o brute-force para a porta especifica.
ListenAddress 200.200.200.200
 # coloca o ip da interface que irá aceitar conexões, nas demais, ipfw add
0 deny tcp from any to me $SSHPORT
LoginGraceTime
# uso apenas por comodidade, melhor do que ficar segurando o server sem
nada.
PermitRootLogin no
 # mantem o no, é melhor do que ter um monte de bunhe***** tentando rootar
seu bsd.
Protocol 2
 # por padrão é 1 ( menos seguro ), acho que no 9 em diante já é 2, o
exemplo foi tirado de um 8.3
UsePrivilegeSeparation yes
# para que juntar se separados funciona bem.
PermitUserEnvironment no
# vai que uma variavel X do ambiente do seu usuário permite comprometer a
segurança, melhor não arriscar.
PasswordAuthentication yes
 # se tem chaves usa em conjunto, coloca uma senha forte do tipo
#@#$$@#LSKjdjaksqo que quando o cara conseguir acesso estará proximo da
proxima geração de homens bionicos tri-milenar !! :D
PermitEmptyPasswords no
 # so descomente, m****s acontece, melhor se garantir, mesmo editando o
master_passwd.db não vai obter o desejado acesso.

Se alguém mais possuir outras sugestões, vamos orientar !!! o cara está
animado e isso me deixa motivado com o FreeBSD.

Abraços e tenha um otimo dia a todos !!

-- 
:=)><(=:
Linux é igual brasileiro, pode não ser a melhor solução mais para tudo tem
um jeito.
Windows é igual americano, não gosta de velharia e toda mudança muda a cara
mais não os hábitos.
Solaris é igual europeu, pinta as paredes para dizer que a casa é nova mais
a fundação é do seculo passado.
UNIX/BSD é igual russo, mudanças só se julgar necessário, e quando muda
ninguém nota.
Flamers > /dev/null !!!