Todo mundo que precisa abrir na internet uma conexão SSH, para acessar remotamente seus servidores Linux/*Unix, sabe que no mesmo instante em que levanta o serviço, torna-se uma vítima em potencial de crackers. Remover simplesmente o serviço da memória da máquina ou fechar a porta de conexão através de um filtro de pacotes, não é uma solução viável. Afinal, todo sysadmin que se preze precisa efetuar este tipo de acesso à servidores geograficamente dispersos e, quase sempre, fora de um túnel seguro – como uma MPLs ou uma VPN, por exemplo.
Não existe uma fórmula mágica para resolvermos esta questão definitivamente. O que existe é um conjunto de boas práticas que permitem aumentar o nível de segurança deste tipo de conexão. Camadas de autenticação, port-knocking, firewall, obscuridade e a especificação de listas de usuários com permissão de acesso são algumas das técnicas que podemos citar.
Este artigo, publicado na IBM Developer Works, aborda na prática como realizar este tipo de implementação. O texto, de nível iniciante/intermediário, foca em 3 principais técnicas:
- Mudança da porta TCP default em que o daemon roda;
- Especificação de uma lista de usuários com permisão de acesso;
- Configurar o Port-knocking.
Leitura bem interessante e mais que indicada! 😉
