Dentro do sistema, crie um shell script que pergunte o nome do usuario, senha, host de conexão e porta em que o ssh client deve se conectar. Já no login, "prenda" o usuário a executação apenas deste sh de forma a ocasionar logout na interrupção dele. Use as outras ferramentas já ditas anteriormente como audit para maior supervisão.
2009/3/14 Eduardo Costa Lisboa <[email protected]>: > 2009/3/13 Marcelo Diotto <[email protected]> > >> Pessoal, >> Criei um servidor ssh que será visivel de fora da empresa, o objetivo é >> que determinadas pessoas possam acessar este pc via ssh e, a partir dele, >> outros pcs dentro da empresa. > > >> Minha preocupação é com relação à segurança, a primeira coisa que pensei >> é que seria interessante que fosse gravado em um arquivo de log tudo que >> foi >> digitado pelos usuários, existe essa possibilidade? > > > A captura da sessão pode ser feita em vários níveis: pelo firewall (uma > bridge transparente?), pela sessão (screen?) ou talvez com algum módulo de > segurança integrado ao kernel -- que impeça o usuário de matar o processo, > caso ele escale para superusuário. > > Depende do nível de segurança que você quer implementar e da complexidade do > ambiente que queira oferecer. > >> >> Alguém tem mais alguma sugestão de segurança? > > > Uma coisa que pode ser feita, e que parece bobeira é mudar a porta do SSH. > Se você puser na 22 e usar uma senha fraca, pode ter CERTEZA que alguém além > do usuário desejado vai entrar. > > Outra coisa, se você quiser ir mais além é usar "port knocking", procure no > google sobre isso pra ver se te interessa. > > Para descer a níveis ainda mais baixos, sugeriria o snapshot de uma raiz > (uso lvm no Linux) pré-pronta oferecida via jailing ou virtualização. > > > > >> Obrigado >> Marcelo >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > > > -- > Eduardo Costa Lisboa > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
