veja telnet.txt cp.txt tem varias dicas de como usar scp (copy por ssh) nesta pasta tem um tutorial .PDF baixado de: http://www.linuxsecurity.com.br/sections.php?op=listarticles&secid=7 Utilize o SSH que usa criptografia. Em http://freshmeat.net anunciaram uma versão nova com correção de alguns bugs de segurança. Procure por OpenSSH. httptunnel em http://http-tunnel.com ******************************************************************************** ******************************************************************************** ******************************************************************************** PUTTY - CONECTAR DIRETO. Encontrei uma solucao, tem que ter experiencia com registro do Windows, mas antes desta, de uma lida no README do putty ou sua documentacao no site de distribuicao que tem dicas boas para isso. Eu fiz da seguinte maneira: 1) Configurei o PuTTy e salvei a minha configuracao como "techno". Lembre que antes de efetuar a conexao vc deve salvar a configuracao senao as mudancas nao efetivam; 2) editei o Registro do Windows (com regedit), localizei nele o nome da minha configuracao - no meu windows fica em HKEY_CURRENT_USER\Software\Simon Tatham\PuTTY; 3) renomeei a minha configuracao para "Default Settings". Com isso quando o PuTTY entrar direto, pega a minha configuracao; 4) Executei a linha de comando DOS: "C:\Arquivos de programas\puttytel.exe" nome-do-servidor com isso ele acessou o servidor efetuou o login com o usuario que preparei na sessao CONECTION da config. do Putty Detalhe, no Login nao tem como passar a senha da conta. Vc pode configurar o Linux para aceitar uma conta sem senha ou criar o servico a ser disponibilizado em uma porta especial. Neste ultimo caso vc pode passar a porta a ser conectada no servidor depois do nome deste. Ex: "C:\Arquivos de programas\puttytel.exe" nome-do-servidor numero-da-porta Quanto as linhas vc altera na configuracao sessao WINDOW, parametro Rows. Subject: (linux-br) duvida com o Putty > Ola > > Gostaria de saber, se tem como colocar as configuraçoes do putty em um > arquivo, e nesse mesmo arquivo colocar o login, a senha, e um comando para > executar direto na hora que ele conecta. > por exemplo: > > entro no putty e ele ja se conecta direto e entra em um programa especifico. ******************************************************************************** O PuTTY é uma implementação livre do Telnet e do SSH para Windows, que lhe garante um terminal GNU/Linux onde você pode ter até as cores do ls. Vc pode achá-lo em : http://people.nl.linux.org/~bjs/putty/ Eu uso o PuTTY, acho bem legal. vc pode pega-lo em http://www.fmvz.usp.br/si/download.php3. Também tem o site do autor do programa: http://www.chiark.greenend.org.uk/~sgtatham/ http://tucows.linkexpress.com.br/preview/139193.html http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html Lista de programas ssh para Windows http://www.employees.org/~satch/ssh/faq/ssh-faq-2.html#ss2.2.3 ******************************************************************************** ******************************************************************************** o pscp (putty scp) vem junto no pacote. Utilize o seguinte (imaginado que o putty está num diretório cujo path esteja especificado no AUTOEXEC.BAT) exemplo : copia do diretorio lixo para o host 192.168.1.1 diretório /root logando como root pscp c:\lixo\texto.txt root@192.168.1.1:/root ao contrário pscp root@192.168.1.1:/root/texto.txt c:\lixo consulte www.antunes.eti.br para aprender sonbre firewalls. Subject: (linux-br) Acesso Remoto SSh - Como copiar arquivos??? Pessoal, Legal....Adorei o PuTTY.. É free e mais rápido que o SecureCRT !!! Porém, como eu faço para transferir arquivos entre duas janelas remotas (de dois hosts diferentes), ou mesmo, copiar arquivos para a minha máquina local e vice-versa, tipo pcanywhere, carboncopy e coisas do gênero!!!..É possível????...Como vcs fazem????? ******************************************************************************** Edit o arquivo /etc/sshd_config, procure a linha PermitRootLogin yes e mude para PermitRootLogin no > Seguinte galera, estou com o seguinte problema ... > Foi instalado onde eu trabalho o ssh para conexão externa e retirado o telnet, pois o ssh, teoricamente, eh mais seguro. > Mas o ssh, aceita eu entrar diretamente como root, ao contrário do telnet, q vc tinha q entrar como usuário comum e depois entrar > como root. ****************************************************************** Conexoes Seguras --------------------------------- Como posso me conectar a um computador rodando qualquer unix/linux de forma segura, visto que o telnet passa todas as informacoes de forma aberta, permitindo que os logins e senhas sejam vistos abertamente por qualquer um que esteja bisbilhotando a rede (Hackers!)? Para conexoes seguras, existe um padrao denominado ssh - secure shell, que criptografa as informacoes que sao transmitidas pela rede. Para maiores informacoes sobre ssh ha dois lugares nos quais voce pode comecar se estiver interessado: http://www.ssh.com http://www.openssh.com ****************************************************************** > Ola lista consegui compilar e instalar o SSH, mas estou tendo um problema > ao iniciar o servico no boot o mesmo da uma mensagem de erro e diz que nao > encontrou o arquivo /usr/local/etc/ssh_host_key e > /usr/local/etc/ssh_host_dsa_key ??? Alguem sabe me dizer que diabos sao > estes arquivos e como cria-lo ?? ssh-keygen -f /etc/local/etc/ssh_host_key -N '' ssh-keygen -d -f /etc/local/etc/ssh_dsa_host_key -N '' Estes parâmetros são para o openssh, provavelmente funcione para o ssh também. ****************************************************************** ****************************************************************** Pelo que eu sei o impacto é o mesmo visto que a diferença entre o telnet e o ssh é a criptografia ou seja, no ssh tudo que passa na rede é criptografado e no telnet passa como clear text, no ssh é mais dificil de enxergar os dados que trafegam (mas não é impossível) e no telnet qualquer sniffer pega os dados!!! Voltando, se sua conexão de ssh ficar aberta é a mesma coisa que o telnet pois a pessoal mal intencionada pode tentar fazer um ataque por brute force (tentar se logar no sistema como root) apenas tentando colocar a senha (pois todo unix tem o root, e adivinha com qual usuário a pessoa mal intencionada vai tentar se logar primeiro). Resumindo seja telnet ou ssh sua porta vai estar aberta para ataques de força bruta. O que te aconselho é colocar uma ótima senha para o root e seus usuários tipo : stuka82!#. Se em algum ponto eu estiver errado, a galera que me corriga ou enriqueça a explicação!!! Subject: (linux-br) Impacto do SSH > Tenho um servidor linux que pode ser contactado via SSH. Pergunto: Qual > o impacto de eu deixar o SSH para aceitar conexões de qualquer IP??? É > que eu vou precisar me conectar à esta máquina de vários provedores e > locais e não tem como eu travar o acesso por IP... ****************************************************************** > o impacto de eu deixar o SSH para aceitar conexões de qualquer IP??? > ... > SSH? Tem algum problema em potencial? > Dependendo da versão do SSH e do tipo de compilação que você usar, não existem problemas... Utilizamos o SSH em minha empresa e nunca tivemos nenhuma dor de cabeça com o mesmo. Recomendo a utilização do ssh2. Existem, é lógico, alguns procedimentos a serem usados com o SSH para aumentar a segurança do mesmo... por exemplo: arquivo: sshd_config #Não utilize na porta padrão #Coloque na porta que você desejar Port 33022 #Não permita o login de root #Crie um usuário e dê permissões para ele no suauth ou sudoers PermitRootLogin no #Não permita o uso de senhas em branco PermitEmptyPasswords no #Limite para 1 as tentativas de digitar senhas PasswordGuesses 1 Acho que por enquanto é só... Qualquer coisa é só "gritar" :) ****************************************************************** Coonexões com SSH --------------------------------- Ainda sobre o SSH, como fazer uma conexão utilizando o SSH? No Linux, basta utilizar o comando 'ssh'ao invés de telnet. A conexão já será com criptografia. No Windows, a coisa é um pouco mais complicada, pois depende do programa que você estiver utilizando. No caso do TeraTerm, por exemplo, é necessário utilizar uma biblioteca adicional que você encontra no endereço http://www.zip.com.au/~roca/ttssh.html Para utilizar o ssh no Teraterm, é necessário baixar o arquivo disponível na página e descomprimí-lo no diretório do Teraterm. Feito isso, execute o TTSSH.EXE (ao invés do Teraterm.exe). ****************************************************************** buenas, o q tu pode fazer ew fechar as tentativas de conexcoes externas para o root. isso dificulta muito o acesso a pessoas mal intensionadas, pois o cara nao vai conseguir logar como root por um terminal remoto, tipo telnet ou ssh... edita o /etc/securitetyy e coloca os ttys q tu quer q o root possa acessar. geralmente ele ja vem pre configurado, tipo: tty1 tyy2 ttyX eu uso do tty1 ate o tty12 pq gosto de ter varios shells ao mesmo tempo. todos os outros terminais q nao estiverem listados neste arquivo serao recusados de aceitar conxcoes como root. me alonguei demais ou entendeu legal ? ***************************************************************************** > Subject: (linux-br) Impacto do SSH > Se em algum ponto eu estiver errado, a galera que me corriga ou > enriqueça a explicação!!! O SSH permite várias configurações adicionais que o TELNET não possibilita, além da criptografia é claro. Para aumentar a segurança, edite o arquivo /etc/sshd_config da seguinte forma: PermitRootLogin no AllowUsers fulano Desta forma vc proíbe o acesso remoto como root e apenas o usuário fulano poderá conectar-se. Defina uma senha "forte" p/ o usuário fulano. Se vc tiver uma conexão permanente (IP fixo) pode ainda definir o(s) IP(s) a partir dos quais é permitida a conexão: AllowHosts 123.456.789.012 Monitore os arquivos de log, se o seu syslogd estiver corretamente configurado todas as conexão (bem ou mal sucedidas) ficarão registradas no /var/log/messages. E use sudo para executar comandos de administração ao invés de fazer su p/ o root. ***************************************************************************** > como conectar maquinas com o ssh sem que toda vez tenha que botar semha Repita a seguinte procedimento em cada uma das maquinas: ssh-keygen (nao entre com passphrase - apenas pressione Enter 2x) copie o arquivo recem-criado .ssh/identity.pub para as outras maquinas. nas outras maquinas, faca cat .ssh/identity.pub >> .ssh/authorized_keys ******************************************************************************* Alguém utiliza algum programa para acessar o linux via ssh? Eu utilizo o putty ( http://www.chiark.greenend.org.uk/~sgtatham/putty/ ) É de graça e tem os fontes para download, ele é compatível com ssh versão 1.* e 2.* Não esqueça de instalar e configurar o seu servidor ssh no linux, pegue os últimos updates aqui: http://www.ssh.com/ ******************************************************************************* scp host.de.origem:nome/do/arquivo host.de.destino:nome/do/arquivo > ...como enviar dados (como um arquivo texto ou um figura .png) atraves de um > conexão SSH, ******************************************************************************* > vc ja tinha o ssh instalado ??? pode ser que as chaves nao estejam Ok .. Nao... eh algum problema maluco qualquer! Basta mudar o password do infeliz com o yppasswd e tudo volta ao normal... nao adianta mudar usando o passwd... vai entender... ******************************************************************************* > Alguem tem um tutorial (ou qualquer coisa parecida) para implantar o ssh > para conexoes seguras via telnet no Linux? > ou alguem pode dar uma dica por onde comecar?? No servidor e no client: installpkg openssl.tgz installpkg openssh.tgz Pronto. Ah! ssh != telnet. Para você logar no servidor faça: # ssh servidor para logar com um usuário diferente # ssh -l usuario servidor Se aparecer uma pergunta que termine com ? Eh para responder yes por extenso e não apenas y. Falous, Piter PUNK ******************************************************************************** > Gerei o par de chaves atraves do aplicativo ssh-keygen. Li em um manual > que deve-se copiar a chave identity.pub (localizada em /user/.ssh) para cada > host remoto que você quiser acessar, se eu já gerei de dentro da máquina que > eu quero acessar então eu só preciso criar uma cópia desse arquivo com o > nome authorized_keys? O par de chaves quem gera é o servidor que vai receber as conexões. Quando alguém acessa este servidor, ele vai apresentar sua chave pública, e o cliente pode armazenar se quiser. Normalmente o ssh cliente está programado para aceitar uma chave pública nova, e para colocar um aviso bem grande caso, em outro acesso, a chave mude. Existem dois locais onde as chaves conhecidas podem ser armazenadas. Uma é o "molho de chaves" (keyring) do sistema, em /etc/ssh_known_hosts (ou em /etc/ssg/ssh_known_hosts dependendo da configuração). As chaves nesse keyring só entram por adição manual. Cada usuário pode ter sua keyring em ~/.ssh/known_hosts. As chaves nessa keyring podem ser adicionadas automaticamente ao se fazer um acesso a um host que não se encontra a chave no keyring do sistema. O ssh pode também ser configurado para não aceitar chaves novas automaticamente, neste caso, para permitir o acrescimo da chave na keyring pessoal é preciso usar o parâmetro "-o strickhostkeychecking=no". Até aqui estamos falando de chaves dos servidores. O usuário também pode ter seu par de chaves privativa e pública. Quando um usuário tem uma chave pública e esta é copiada para o ~/.ssh/authorized_keys do host que ele quer acessar, então o ssh+sshd podem fazer a autenticação de acesso, podendo com isso dispensar o uso da password de acesso normal no sistema (se a configuração do sshd permitir, o default é permitir). Quando criamos um par de chaves (pública+privada) o ssh-keygen pede uma passfrase. A "passfrase" é uma senha que é usada para criptografar a chave privativa. Se não colocarmos nada (ou for usado o parâmetro "-N ''") então a chave privativa não é criptografada. Com isso podemos acessar outra máquina sem a necessidade de digitar a passfrase, pois o ssh cliente tem acesso a chave privativa e pode se autenticar com o sshd, que tem a chave pública em authorized_keys. Caso a chave seja gerada com passfrase, então o ssh cliente pede a passfrase e decritografa a chave privativa, que é então usada para acessar outra máquina, sem precisar da senha naquela máquina. A vantagem deste sistema é que a chave privativa não pode ser acessada facilmente, e o processo de autenticação é local, e muito mais forte do que a senha no servidor, pois não há limite para o tamanho da passfrase que criptografa a chave privativa, e as chaves em sí tem 1024 bits (e podem ser configurado para ter mais, como 4096 bits). É possível criptografar e decriptografar a chave privativa com: ssh-keygen -p # para colocar uma nova passfrase ssh-keygen -p -N '' # pede para colocar passfrase nula, # isto é, sem passfrase Com uma boa passfrase é possível guardar a chave privativa em outra mídia, que mesmo sendo roubada, não será facil de ser quebrada. Também é possível no início do dia retirar o passfrase, trabalhar sem a amolação de digitar senhas, e finalizar o dia recriptografando a chave privativa. As chaves dos servidores são criadas sem passfrase, pois assim o sshd pode iniciar automaticamente, senão a cada boot o sshd vai pedir a passfrase. > Estou querendo acessar o meu linux por um Win98, estou usando o putty.exe. > Vocês me recomendam outro client? Neste caso basta acessar, no primeiro acesso o putty vai perguntar se quer acrescentar a chave, e depois não pergunta mais. Não recomendo o uso de chaves sem senha + authorized_keys em ambiente Win9x, por razões óbivias... ;) Conheça também o TeraTerm (procure no google.com, acha fácil), pois ele pode ser configurado para fazer "port forward" via link criptografado e compactado. ******************************************************************************** > Estou tentando usar o ssh para transferir dados, so que para cada conexao ele > me pede a bendita senha. Teria como eu colocar a > senha nas linhas de comando ou em algum arquivo que ele use? > O procedimento depende se sua versão do ssh é 1. ou 2. v.1 Máquina 1 ssh-keygen (passphase vazia, digite apenas ENTER) scp .ssh/identity.pub Máquina2 Máquina 2 cat identity.pub >> .ssh/authorized_keys v.2 Máquina 1 ssh-keygen -t (protocolo DSA) scp .ssh/id_dsa.pub Máquina2 Máquina 2 cat id_dsa.pub >> .ssh/authorized_keys2 Repita os procedimentos para todas as máquinas que precise. ******************************************************************************** > Gostaria de confirmar se o server SSH2 aceita conexoes com clientes > que usam o protocolo ssh1. Se positivo, gostaria de saber se tem > como bloquear as conexoes provenientes destes clientes... Você pode configurar o servidor para somente aceitar o protocolo ssh2. No openssh, edite /etc/ssh/sshd_config e deixe a linha Protocol assim: Protocol 2 (normalmente tem 2,1 ali, dizendo para usar 2 e, se der erro, cair para 1 ******************************************************************************** > Tenho um diretorio chamado "teste" e dentro dele varios outros. > Bem, se eu usar o comando "cp -rf teste /home/ana" eu sei que ele e tudo o mais que ele contem sera copiado para dentro de /home/ana. > Muito bem, "mas" se eu precisar copiar só o que tem dentro do diretorio "teste" sem que o diretório "teste" seja tambem copiado, que comando eu uso ??? :) > Pergunto isso pq o diretorio "teste" já existe dentro de /home/ana e com o comando que eu conheço ele será sobrescrito, o que não deve ocorrer neste caso ... > Se não me engano, no DOS existe algo como "copy *.*", suponho que no Linux deva haver algo semelhante ... O tar também quebra muito bem esse galho! ( cd /diretório_origem ; tar cpvf - . ) | ( cd /diretório_destino ; tar xvpf - ) Isso pode ser utilizado também de máquina para máquina: ( cd /diretório_origem ; tar cpvf - . ) | ssh máquina2 "cd /diretório_destino ; tar xvpf -" ssh máquina1 "cd /diretório_origem ; tar cpvf - ." | ( cd /diretório_destino ; tar xvpf - ) Você ainda pode incrementar mais isso, fazendo com que a corrente de bytes seja compactada on-the-fly na origem e descompactada no destino: ( cd /diretório_origem ; tar cvpzf - . ) | ssh máquina2 "cd /diretório_destino ; tar xvpzf -" ssh máquina1 "cd /diretório_origem ; tar cvpzf - ." | ( cd /diretório_destino ; tar xvpzf - ) Esse flagzinho "z" faz o que seria exatamente equivalente a isso: ( cd /diretório origem ; tar cvpf - . | gzip -c - ) | ssh máquina2 "cd /diretório_destino ; gzip -dc - | tar xvpf -" ssh máquina1 "cd /diretório_origem ; tar cvpf - . | gzip -c -" | ( cd /diretório_destino ; gzip -dc | tar xvpf - ) ******************************************************************************** É porque o ssh está recusando o seu ip ! libera o ip da sua máquina. edita o arquivo /etc/hosts.allow e adiciona a seguinte linha: ALL: ip da sua máquina Subject: (linux-br) Autorizacao via ssh > > alguem poderia me ajudar, to com um pequeno grande problema: > > um de nossos servidores esta com o sshd instalado e rodando, o problema eh > que nao conseguimos nos logar nele, dando uma mensagem de erro como retorno: > Secure connection to ???.???.??.??? refused ******************************************************************************** Saudações GNU! Sim.. de diversas formas.. um exemplo, feito agora.. mas funciona.. ele exemplifica o poder q o shell te ta.. ======== Corte aqui ========== #!/bin/sh while [ 0 ] do echo "[$USER@`hostname`] no terminal [`tty`]" read -p"shell=> " comando com=`echo $comando |awk '{print $1}'` case "$com" in 'ls') ls -l --color ;; 'instala-formulario') instala-formulario ;; 'exit') exit ;; *) echo "O shiitt.. voce acaba de ser logado.." echo "$USER na `tty` executou o comando $com" >> ~error.log echo "Comando so pro dono .. " ;; esac done ======== Corte aqui ========== roda ele.. e testa... ai vc pode incrementar e colocar esse script como shell padrao do usuario.. qualquer duvida da um grito.. ( acho que nao vou escutar daqui.. mas tudo bem ai tu manda um mail..) Vision Informática - Sistemas 100% GPL (Automação Comercial para Linux) Torres - RS - 0xx 51 664-4279 Lauro C. Oliveira On Thu, 5 Jul 2001, -= Ana Paula =- wrote: > > Olá! > > Nunca considerei dar acesso telnet/ssh pra > usuario nenhum, mas to com um problema em > que estou vendo isso como a melhor solucao > para o meu caso ... > > O que eu preciso é que os usuarios que > acessem o servidor por ssh possam > executar o comando "ls" somente dentro > do diretorio onde deverão "cair" apos > o login. Ou seja: > > Pode = $ ls > Nao pode = $ ls /var/log > > E alem do ls, possam executar varios > scripts que estarao dentro deste > diretorio, exemplo: > > $ ./instala-formulario dominio-tal.com > > Fora isso nao podem fazer mais nada. > Nem criar um arquivo ou diretorio, enfim, > nada mesmo alem disso. ******************************************************************************** > Olá pessoal , eu estou precisando de um gerenciador de conexão para o ssh , > preciso que ele possa salvar os hosts as portas e as senhas , assim como o > secureCRT , alguem conhece algum que tenha estas funções ?? Devem haver outros melhores. Mas dê uma olhadinha no T3, é um programinha que eu mesmo escrevi em Tcl/Tk. Como ninguem me manda bugfixes e eu jah me acostumei com os bugs dele, o desenvolvimento estah meio parado. Mas o pau q vc achar a gente pode tentar resolver -:) www.piterpunk.hpg.com.br/programs/T3.html ********************************************************************** "[Usando SSH para acessar um servidor remoto], você pode imprimir para arquivo, transferir o arquivo para seu computador e passar o tarefa para a impressora local com lpr. Este método funciona, mas envolve três passos e não funciona se você não puder imprimir para arquivo." "Seria bom trabalhar à distância com o [SSH] e digitar somente lpr arquivo. Que tal imprimir a partir de um leitor de correio ou imprimir um relatório de uma aplicação de base de dados?" "Podemos fazer isso usando os recursos de repasse de portas do SSH." Leia mais em: http://www.linuxjournal.com/article.php?sid=5462 ********************************************************************** > Alguém conhece alguma ferramente segura, FREE, para ms-windows, de > preferência com interface gráfica ou mais amigável que o PSCP (que é zero em > amigabilidade)., para conexões SSh remotas ??? Procure por winscp no google. ********************************************************************** Subject: Re: (linux-br) ssh abrindo programas do X Em Mon, Aug 27, 2001 at 10:55:10AM -0300, Ronaldo Reis Jr. escreveu: > ssh - E o programa que fara uma conexao o servidor > -X - E o parametro que informa a necessidade de execucao do X no servidor (...) > Será que é necessario ter alguma coisa a mais instalada/configurada alem do X > e do SSH? Eu tentei fazer isto num computador remoto e nao aconteceu nada. A opção X11Forwarding não está habilitada por padrão. Edite /etc/ssh/sshd_config e habilite essa opção, restartando o sshd depois. Aí o -X vai funcionar. Você também pode rodar o ssh (cliente) com a opção "-v", lá pelas tantas vai aparecer na tela que você está pedindo X11Forwarding e a resposta do servidor, se autoriza isso ou não. ********************************************************************** > Alguem poderia dar uma dica ou algum tutorial de como fazer para criar uma > nova chave publica e privada, para utilizar o SSH. Execute ssh-keygen ********************************************************************** Subject: Re: (linux-br) Transferencia de arquivo por ssh passando por Firewall Vc consegue dar ping da maq3 para a maq1 ? Se consegue, qual é o problema? Vc leu a doc. de conf do ssh? Faça o teu firewall permitir a conexão na porta 22 e pronto. É exatamente p/isso q o ssh serve. Gere as chaves, crie na maq1 um usuário, copie a tua chave p/lá. Depois q o ssh permitir q vc se logue da maq3 à maq1, está resolvido o teu problema. Vc pode usar o pacote "lrzsz...rpm". O tal sz manda arquivos e o rz recebe. Vale a pena conhecê-los. Bom, tbém, depois q vc conecta via ssh, vc pode usar ftp, qquer coisa, a sessão toda vai estar encriptada. ********************************************************************** LSH é um substituto GPL ao SSH (Secure Shell)... Fornece autenticação forte e segura alem de toda sessão ser criptografada, oferecendo grandes vantagens sobre comunicações em redes inseguras e sobre outras ferramentas similares de adm. remota... Mais informacoes: http://www.linuxsecurity.com.br/article.php?sid=5007 ********************************************************************** - SSH for Windows gratuito Carlos, veja em ftp://ftp.comp.ufla.br/pub/ssh/ Aqui nós temos dois clientes de ssh para Win, o ssh32 e o TeraTerm, além do pscp, que equivale ao scp do linux (cópia remota criptografada, Secure CP). A página do TeraTerm é http://www.vector.co.jp/authors/VA002416/teraterm.html O ssh32 tem um arquivo doc.txt que provavelmente cite sua verdadeira origem. São livres, com direitos autorais reservados. Acho que isto resolve o problema de clientes ssh para Win gratuitos. E todos são compatíveis com o openssh. ********************************************************************** Para habilitar cliente SSH, onde: eth0 = interface externa ip = ip rede externa iptables -A INPUT -i eth0 -p tcp ! --syn --source-port 22 -d ip --destination-port 1022:65535 -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp -s ip --source-port 1022:65535 --destination-port 22 -j ACCEPT Mauricio Cavalcanti. Subject: SSH + Firewall ( Iptables ) e Ntsysv Boa Tarde! Como eu faço para habilitar no meu firewall para usar o SSH de fora para dentro? eu tenho que habilitar alguma porta ou ip? Outra coisa, para eu colocar meu firewall no ntsysv como eu faço?o firewall está em formato executavel com start, stop, status...etc... já li alguns emails mas não consegui coloca-lo no ntsysv... Uso CL7 - 2.4.5 ********************************************************************** Subject: (linux-br) Re: Fonte para PuTTy melhor que a Terminal Eu ajusto os caracteres semi-graficos com o comando linux: charset G0 cp437 so funciona no console linux, nao no X. Dependendo da distro tenho ajustar tambem a fonte com o comando linux: setfont /usr/lib/kbd/consolefonts/cp865-8x16 essa fonte e otima tem tanto caracteres acentuados quanto os semi-graficos. Ah se existe fonte assim no X, ai meus aplicativos ficariam XuXu Bele. []'s Braille. ********************************************************************** From: Dr. Penrose, PhD. To: linux-br Sent: Wednesday, April 03, 2002 1:52 PM Subject: Re: (linux-br) SSH sem senha On Wed, 2002-04-03 at 09:35, Tiago F Bianchini wrote: > Em Quarta 03 Abril 2002 00:54, Jorge Godoy escreveu: > > > > Verifique as permissões de diretórios do / até o ~/.ssh. > Tiago F Bianchini > "Dr. Penrose, PhD.", as permissões e propriedades geralmente são o problema E nao e' que era isso mesmo? Na mosca. O authorized_keys estava com permissao 664. Mudei para 600 e funfou beleza. Muito obrigado a todos. ********************************************************************** From: Andreas Hasenack To: Dr. Penrose, PhD. Cc: linux-br Sent: Friday, April 05, 2002 5:14 PM Subject: Re: (linux-br) SSH sem senha Em Fri, Apr 05, 2002 at 12:08:07PM -0300, Dr. Penrose, PhD. escreveu: > > Habilite X11Forwarding no servidor ssh e use -X na linha de comando do cliente. > > > Isto ja' esta' ok. Mas eu nao estou usando -X na linha de comando, pois > antes eu conseguia mesmo sem este parametro. Isso pode ser o default também, é só habilitar no /etc/ssh/ssh_config ou ~/.ssh/config. Detalhe, pode ser por máquina, algo como: Host servidor-ssh-que-eu-quero-com-x11 ForwardX11 yes Se usar "*" no lugar da máquina, vale para todas. > > Detalhe: é possível que o su - root esteja apagando a variável DISPLAY. > > Nao esta'. Tanto com usuario comum como com root o DISPLAY esta' > configurado para "localhost:0.0" Quando tem tunneling pelo ssh, o display possui um offset, deveria ser algo como "fqdn-da-maquina:10.0". ********************************************************************** De:  Gustavo Vasconcelos Para:  Ricardo Cc:  linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br)Ajuda com ssh Data:  Tue, 02 Sep 2003 12:36:14 -0300 ssh seu.servidor.com password: [sua senha] $ programa_a_iniciar Programa a iniciar 1.0 Copyright (C) 2002 Free Software Foundation, Inc. Blábláblá [CTRL + Z] [1]+  Stopped                 programa_a_iniciar $ bg [1]+ programa_a_iniciar & $ logout logout [~] + [.] Disconnected from seu.servidor.com $ No caso do RH9 é necessário apertar [~] duas vezes para entrar no modo de escape. Ricardo wrote on 02-09-2003 09:30: Olá > > Alguém sabe como usar a opção -e do ssh? > Poderiam me dar um exemplo do ~. (desconectar). > > Estou tentando disparar um processo remotamente e > desconectar logo depois. > > []'s > Ricardo > -- ********************************************************************** De:  Marco Aurélio Para:  Lista-Linux-BR Lista , administracao Assunto:  Re: (linux-br)SSHD Data:  Thu, 23 Oct 2003 12:06:15 -1200 Mudar a porta vc pode, e soh vc ir no /etc/sshd/sshd_config e mudar a configuração da mesma. Agora mudar de protocolo de tranporte ai já até onde eu sei não tem como, pois os mesmo são bem diferentes, enquanto o tcp e orientado a conexão o udp não, e o ssh e um protocolo que deve ser tranportado por um protocolo orientado a conexão, que no caso e o tcp.         Marco Aurélio         Adm. rede/sistemas > Bom dia pessoal!!!! > > Gostaria de saber se tem como mudar a porta e o protocolo do sshd? > Por exemplo, de 22 para 10655 de tcp para udp ou só a porta. > ********************************************************************** De:  Marcus Lima Responder-a:  marcuslima@marcuslima.eti.br Para:  Marco Aurélio , Lista-Linux-BR Lista , administracao Assunto:  RES: (linux-br)SSHD Data:  Fri, 24 Oct 2003 01:05:47 -0200 > Mudar a porta vc pode, e soh vc ir no /etc/sshd/sshd_config e mudar a > configuração da mesma. Agora mudar de protocolo de tranporte ai já até onde > eu sei não tem como, pois os mesmo são bem diferentes, enquanto o tcp e > orientado a conexão o udp não, e o ssh e um protocolo que deve ser > tranportado por um protocolo orientado a conexão, que no caso e o tcp. Até porque na minha humilde opnião, usar UDP tornaria o protocolo menos confiável. Hoje com o TCP, quando é fechada a primeira conexão há uma troca de chaves assimétricas para em seguida haver a troca de chaves simétrias que após algum tempo é modificada. O quão confiável ficaria a troca de chaves simétricas que é usada na criptografia dos dados numa conexão UDP? Lembrando-se que ter uma sessão estabelecida garante (em teoria) uma maior confiança. Em teoria porque existe um tipo de ataque ao SSH (e outros programas que trocam chaves) que é inevitável chamado man-in-the-middle. Uma boa forma de desconfiar é se a partir da primeira conexão o cliente pedir para confirmar uma 'fingerprint' (que significa que ela mudou, o que não é normal a não ser que vc reinstale do zero o SSHD) Att, Marcus Lima Consultor de Segurança Aker Security Solutions - Regiona RJ/ES www.aker.com.br ********************************************************************** De:  Dicas-L-Owner@unicamp.br Assunto:  [Dicas-L] Checagem de e-mails de forma segura Data:  Wed, 17 Dec 2003 02:32:22 -0200 -------------------------------------------------------------------- Endereço: http://www.Dicas-l.com.br/dicas-l/20031217.shtml --------------------------------------------------------------------                              Portal Linux IBM                           http://www.ibm.com/linux ----------------------------------------------------------------------   Checagem de e-mails de forma segura   =================================== Colaboração: Marcelo Estrela Temos nossa página hospedada na Locaweb (que não provê um servidor de e-mails com suporte a criptografia). Entretanto possuímos uma conta shell em um servidor SSH diferente do servidor de e-mails.  Podemos utilizar essa conta shell para prover, como intermediário, um acesso seguro ao nosso servidor de e-mails.   ssh -L 9110:pop.temlinux.com.br:110 -L 925:smtp.temlinux.com.br:25 temlinux@www.temlinux.com.br Dessa maneira basta configurar nosso cliente de e-mails para enviar e-mails pela porta 925 e checar na porta 9110 virtualmente criada. Very handy! --------------------------------------------------------------         EXTENSAO EM GEOPROCESSAMENTO - UNICAMP         ====================================== A UNICAMP esta  abrindo as inscricoes  para candidatos a vagas do novo oferecimento do Curso de Especializacao em GEOPROCESSAMENTO, de um ano de  duracao, a  iniciar em JANEIRO   de 2004.  Este  curso,  ja em seu terceiro   ano, tem por objetivo  fornecer  uma formação solida, tanto teorica  quanto aplicada  ,  na  área   de Geoprocessamento. O   curso enfatiza os  aspectos computacionais  e de sensoriamento  remoto, para aplicaçoes urbanas e ambientais. INSCRICOES de candidatos - Na Escola de Extensão, UNICAMP, ate 9/01/2004 OFERECIMENTO - 31/01/2004 a 11/12/2004 Para maies informaçoes, contatar         email ext-geoproc@ic.unicamp.br         telef (019) 3788-5883 Endereço Web - http://www.ic.unicamp.br/extensao/geoproc -----------------------------------------------------------         Using and Customizing Knoppix         ============================= http://linux.oreillynet.com/pub/a/linux/2003/11/20/knoppix.html -------------------------------------------------------------------- As mensagens da lista Dicas-L são veiculadas diariamente para 23400 assinantes.        Todas as mensagens da Dicas-L ficam armazenadas em                http://www.Dicas-l.com.br. A redistribuição desta e outras mensagens da lista Dicas-L pode ser feita livremente, deste que o conteúdo, inclusive esta nota, não sejam modificados. --------------------------------------------------------------- ********************************************************************** De:  Dicas-L-Owner@unicamp.br Assunto:  [Dicas-L] Clientes ssh em Java Data:  Wed, 07 Jan 2004 03:48:10 -0200 -------------------------------------------------------------------- Endereço: http://www.Dicas-l.com.br/dicas-l/20040107.shtml -------------------------------------------------------------------- Mirando Resultados http://novateceditora.com.br/livros/mirando/ --------------------------------------------------------------------   Clientes ssh em Java   ==================== Quando em viagem, é muito dificil encontrar serviços de acesso à Internet que ofereçam a possibilidade de se acessar outros computadores por meio de uma shell. O mais comum é o acesso a um browser a partir do qual se faz o resto, como leitura de emails via um serviço webmail, navegação na web, etc. Eu faço a maior parte das minhas tarefas por meio de uma shell orientada a texto, inclusive a leitura de meus emails. Existem diversos clientes java para ssh, que estão instalados em diversos sites, com uso liberado.  Para descobri-los, em uma de minhas viagens, usei, como sempre, o google, com os seguintes argumentos de busca:   java ssh client Existem vários softwares deste tipo, alguns livres, alguns comerciais. Uma busca no site Freshmeat, com a seguinte URL, retorna diversos projetos:   http://freshmeat.net/search/?q=java+ssh+client§ion=projects&x=0&y=0 -------------------------------------------------------------------- Santa Ignorância http://www.idph.net/artigos/novaeducacao/ignorancia.php -------------------------------------------------------------------- As mensagens da lista Dicas-L são veiculadas diariamente para 23529 assinantes.        Todas as mensagens da Dicas-L ficam armazenadas em                http://www.Dicas-l.com.br. A redistribuição desta e outras mensagens da lista Dicas-L pode ser feita livremente, deste que o conteúdo, inclusive esta nota, não sejam modificados. --------------------------------------------------------------- ********************************************************************** De:  Dicas-L-Owner@unicamp.br Assunto:  [Dicas-L] Como criar e extrair um backup em uma unidade de fita remota Data:  Wed, 11 Feb 2004 02:52:14 -0200 -------------------------------------------------------------------- Endereço: http://www.Dicas-l.com.br/dicas-l/20040211.shtml -------------------------------------------------------------------- O que Gera Preferência? http://www.idph.net/artigos/nossacomunidade/o_que_gera_preferencia.php ---------------------------------------------------------------------------------------   Como criar e extrair um backup em uma unidade de fita remota   ============================================================ Colaboração: Carla Cristina Alonzo Duclós         Extrair:         ======== Para extrair um backup de uma fita localizada em outro servidor remotamente:   $ ssh 'dd if=/dev/rmt0' | tar xvf - O dd é executado na máquina remota através do ssh e lê o conteúdo da fita que se encontra nesse servidor. O pipe (|) redireciona a leitura da fita, que está acontecendo remotamente, para o comando tar, que é executado localmente.         Criar:         ====== Para criar um backup usando uma unidade de fita remota:   $ tar cvf - | ssh dd of=/dev/rmt0 O tar executado localmente vai gerar o conteudo a ser enviado para a fita que se localiza em outro servidor. Esse conteúdo é redirecionado através do pipe (|) para o ssh que executará na máquina remota um dd que irá escrever os dados na fita. OBS: /dev/rmt0 é o dispositivo de fita em sistemas AIX. Para usar em outros unixes basta substituir pelo dispositivo equivalente. -------------------------------------------------------------------- Integrando PHP com MySQL - Guia de Consulta Rápida http://novateceditora.com.br/guias/intphpmysql/ -------------------------------------------------------------------- As mensagens da lista Dicas-L são veiculadas diariamente para 23906 assinantes.        Todas as mensagens da Dicas-L ficam armazenadas em                http://www.Dicas-l.com.br. A redistribuição desta e outras mensagens da lista Dicas-L pode ser feita livremente, deste que o conteúdo, inclusive esta nota, não sejam modificados. --------------------------------------------------------------- ********************************************************************** De:  pinguimal@click21.com.br Para:  Alex S. Pereira <9047.alexsp@finasa.com.br>, Lista LinuxBR Assunto:  Re: (linux-br) Transferência de Arquivos no CL9 Data:  14 Feb 2004 18:52:41 -0300 Alex, Faz um ftp utilizando o bin ftp ip_server loguin senha bin get arquivo vê lá se continua com problema. Caso positivo tira o bin. Abraços ================= >De:"Alex S. Pereira" <9047.alexsp@finasa.com.br> >Para:"Lista LinuxBR" >Assunto:(linux-br) Transferência de Arquivos no CL9 > >Pessoal, > >Eu tenho um servidor CL9 que utilizo para >transferência de arquivo usando o >SSH, nos usuários que usam o Ruindows uso o >WinSCP 2.2.0, eventualmente >alguns usuários reclamam que o arquivo depois de >transferido vêm com >caracteres estranhos e eu constatei que >realmente depois do arquivo ser >transferido aparece 1 caracter estranho no final >do arquivo, alguém já teve >este problema e poderia me ajudar ? > >Obrigado, > >Alex > ********************************************************************** De:  Eduardo Mota Para:  Geraldo Luís Cc:  'Lista Conectiva' Assunto:  Re: (linux-br)SSH para usuarios Data:  Sun, 15 Feb 2004 14:46:21 -0300 Para isso, você precisa mudar as permissões das coisas .. Mas, provavelmente acho que não, pois o usuário precisa ter acesso a outras coisas ... tipo: /bin ... Geraldo Luís wrote: Pessoal > >     É o seguinte, tenho um servidor em que os usuarios se logam via SSH. >     Tem como fazer com que eles so fiquem em seus diretorios HOME >     Fazer com que eles nao mudem para outro local? > > Obrigado > Geraldo > -- Atenciosamente, Eduardo Mota. ********************************************************************** De:  Jorge Godoy Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)SSH para usuarios Data:  Mon, 16 Feb 2004 04:48:11 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Friday 13 February 2004 12:40, Geraldo Luís wrote: >     É o seguinte, tenho um servidor em que os usuarios se logam via SSH. >     Tem como fazer com que eles so fiquem em seus diretorios HOME >     Fazer com que eles nao mudem para outro local? Como consta em várias respostas similares no histórico da lista, use-se de chroot(). A página de manual explica como usar e há vários tutoriais pela Net. - -- Godoy.     -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.3 (GNU/Linux) ********************************************************************** De:  Dicas-L-Owner@unicamp.br Assunto:  [Dicas-L] SSH - Autenticacao via chave publica Data:  Tue, 4 May 2004 02:46:08 -0300 -------------------------------------------------------------------- Comente esta dica em http://www.Dicas-l.com.br/dicas-l/20040504.php -------------------------------------------------------------------- Disciplina http://www.idph.net/artigos/novaeducacao/disciplina.php --------------------------------------------------------------------   SSH - Autenticacao via chave publica   ==================================== Colaboração: Fagner Goncalves Estes dias estive precisando fazer um script e como não posso usar ftp, tive de recorrer ao scp, mas o mais interessante foi o método usado. Normalmente quando precisamos nos comunicar com outra máquina, usamos o SSH. Para tal, precisamos ter um login e senha na máquina. Usando chave publica, podemos automatizar e bastante este processo de ssh -l nome maquina, sem precisar digitar a senha e apenas ssh maquina ou ate mesmo scp arquivo@maquina:/local/ e por ai vai. Para comunicacao entre 2 máquinas, por exemplo, precisamos do sequinte : 1. Gerar a chave nas 2 máquinas; 2. Criar o arquivo authorized_keys em $HOME/.ssh/ ; Como vimos, não é dificil, mas vamos passo a passo: Para gerar o arquivo, utilizaremos o comando   ssh-keygen -t rsa na maquina2. Isto gerara um arquivo chamado id_rsa e id_rsa.pub. Este último arquivo nos interessará no proximo passo. Depois, editaremos o arquivo $HOME/.ssh/authorized_keys na maquina1 e colocaremos o conteudo do arquivo id_rsa.pub da maquina2 aqui.   (cat id_rsa.pub > $HOME/.ssh/authorized_keys) pode ser feito para agilizar o processo. Pronto. O usuario "foo" da "maquina2" poderá fazer   ssh maquina1 e nem precisará digitar a senha, pois a autenticacao foi feita por chave publica. Faça o mesmo com a maquina1 e pronto. PS's: SSH2 usado; cada usuário precisará fazer o seu. -----------------------------------------------------------         Tomagotchi Lawsuit         ================== Microsoft (MSFT) has announced a 54 million dollar lawsuit against Tomagotchi maker, Bandai. Microsoft is claiming that the Tomagotchi (the Japanese electronic pet that's all the rage with kids) is an infringement of its intellectual property. Microsoft spokesperson Erik Loregard stated, "Software that needs constant, even hourly attention or else it dies? Sounds like Windows to me. This is clearly an infringement on our technology." The Bandai company spokesman refused to comment on the suit. -------------------------------------------------------------------- PHP - Guia de Consulta Rápida http://novateceditora.com.br/guias/php/ -------------------------------------------------------------------- As mensagens da lista Dicas-L são veiculadas diariamente para 24719 assinantes.        Todas as mensagens da Dicas-L ficam armazenadas em                http://www.Dicas-l.com.br. A redistribuição desta e outras mensagens da lista Dicas-L pode ser feita livremente, deste que o conteúdo, inclusive esta nota, não sejam modificados. --------------------------------------------------------------- ********************************************************************** De:  Dicas-L-Owner@unicamp.br Assunto:  [Dicas-L] SSH - Autenticacao via chave publica Data:  Tue, 04 May 2004 02:34:50 -0300 -------------------------------------------------------------------- Comente esta dica em http://www.Dicas-l.com.br/dicas-l/20040504.php -------------------------------------------------------------------- Disciplina http://www.idph.net/artigos/novaeducacao/disciplina.php --------------------------------------------------------------------   SSH - Autenticacao via chave publica   ==================================== Colaboração: Fagner Goncalves Estes dias estive precisando fazer um script e como não posso usar ftp, tive de recorrer ao scp, mas o mais interessante foi o método usado. Normalmente quando precisamos nos comunicar com outra máquina, usamos o SSH. Para tal, precisamos ter um login e senha na máquina. Usando chave publica, podemos automatizar e bastante este processo de ssh -l nome maquina, sem precisar digitar a senha e apenas ssh maquina ou ate mesmo scp arquivo@maquina:/local/ e por ai vai. Para comunicacao entre 2 máquinas, por exemplo, precisamos do sequinte : 1. Gerar a chave nas 2 máquinas; 2. Criar o arquivo authorized_keys em $HOME/.ssh/ ; Como vimos, não é dificil, mas vamos passo a passo: Para gerar o arquivo, utilizaremos o comando   ssh-keygen -t rsa na maquina2. Isto gerara um arquivo chamado id_rsa e id_rsa.pub. Este último arquivo nos interessará no proximo passo. Depois, editaremos o arquivo $HOME/.ssh/authorized_keys na maquina1 e colocaremos o conteudo do arquivo id_rsa.pub da maquina2 aqui.   (cat id_rsa.pub > $HOME/.ssh/authorized_keys) pode ser feito para agilizar o processo. Pronto. O usuario "foo" da "maquina2" poderá fazer   ssh maquina1 e nem precisará digitar a senha, pois a autenticacao foi feita por chave publica. Faça o mesmo com a maquina1 e pronto. PS's: SSH2 usado; cada usuário precisará fazer o seu. -----------------------------------------------------------         Tomagotchi Lawsuit         ================== Microsoft (MSFT) has announced a 54 million dollar lawsuit against Tomagotchi maker, Bandai. Microsoft is claiming that the Tomagotchi (the Japanese electronic pet that's all the rage with kids) is an infringement of its intellectual property. Microsoft spokesperson Erik Loregard stated, "Software that needs constant, even hourly attention or else it dies? Sounds like Windows to me. This is clearly an infringement on our technology." The Bandai company spokesman refused to comment on the suit. -------------------------------------------------------------------- PHP - Guia de Consulta Rápida http://novateceditora.com.br/guias/php/ -------------------------------------------------------------------- As mensagens da lista Dicas-L são veiculadas diariamente para 24719 assinantes.        Todas as mensagens da Dicas-L ficam armazenadas em                http://www.Dicas-l.com.br. A redistribuição desta e outras mensagens da lista Dicas-L pode ser feita livremente, deste que o conteúdo, inclusive esta nota, não sejam modificados. --------------------------------------------------------------- ********************************************************************** De:  Jorge Anselmo Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)SSH não funciona na internet por nada. Data:  Tue, 11 May 2004 11:59:55 -0300 Bom David, se o seu caso eh soh liberar no iptables, dah uma olhada nessa regra, iptables -A INPUT -p tcp --syn -s x.x.x.x/32 --dport 22 -j ACCEPT dessa forma vc poderah acessar o seu servidor por ssh pelo ip x.x.x.x. Era isso q vc precisava? Anselmo Em Ter 11 Mai 2004 09:05, you wrote: > Bom dia a todos da lista. Estou com um problema que > está difícil de ser solucionado. Estou usando o CL10 > b2 e instalei o pacote do SSH para o uso na minha rede > interna, mas gostaria de poder acessar esta máquina > remotamente, pela internet, mas não consigo usar. > Peguei algumas dicas aqui mesmo na lista dizendo que > eu tinha que criar uma regra de iptables, que é o que > eu uso de firewal aqui, habilitando a porta do SSH, > mas não sei como fazê-la. Por favor, se alguém puder > me ajudar, com essa, já é a terceira vez que posto uma > mensagem em relação ao ssh. Desde já agradeço a > colaboração do pessoal. ********************************************************************** De:  Joaquim-abc Para:  lista linux-br Assunto:  Re: (linux-br)SSH para porta diferente Data:  Wed, 02 Jun 2004 14:38:56 -0300 Em Qua, 2004-06-02 às 11:35, Thiago Amaury Ferraz escreveu: > Olá lista! > > Continuo com problemas para utilizar uma unidade de fita remota.. acredito > que falta muito pouco para solução desse problema, penso estar sendo > limitado pelo meu próprio conhecimento sobre o SSH.. e trabalho com portas > diferentes.. estou executando o seguinte comando: > > find . | cpio -ocvB -F ipHost:/dev/rmt/1mn > > E o erro mostrado é como se faltasse algo, então testei o mesmo comando em > uma máquina com SSH.. uma vez que a primeira máquina não possui SSH(porta > 22), somente telnet(porta 23).. e o erro é justamente.. port 22: Connection > refused ou seja SSH.. na máquina com SSH executando, funciona.. o problema é > que não posso ativar o SSH na primeira máquina, uma vez que a máquina não > está sob minha responsabilidade e não estou conseguindo negociar a ativação > do serviço(burocracia).. gostaria de saber como utilizar portas diferentes.. > ou seja.. usar a porta telnet remota para o envio do resultado do comando > acima.. Peguei a conversa em andamento, nao vi a sua pergunta original, mas pelo que eu entendi, voce esta com problemas para acessar uma unidade de fita remota, atraves cpio. Eu tive problemas semelhantes, minha unidade de fita é SCSI DA, Eu uso SuSE. Para conseguir acessar tive que instalar o pacote dump, ele vem com utilatario rmt, que é usado pelo cpio para controlar unidade de fita. Alem disso, o comando default para acesso remoto no SUSE é o rsh e nao o ssh, neste caso eu configurei o rsh na maquina de destino. Antes de usar o cpio testei a configuraçao de forma que eu conseguisse executar um ls, na maquina remota (comando rsh ls). Quando tive certeza que o rsh estava funcionando dei o cpio e funcionou. Para usar o ssh acho que voce tem que passar o parametro: --rsh-command=command, vide man. > Alguem pode me ajudar com relação a configuração do SSH!? O interessante é > que na máquina com o SSH, a senha é solicitada.. no entanto em outras > distribuições.. não é solicitada!? Acredito que sejam os detalhes da > configuração do SSH.. alguém tem alguma dica sobre o assunto!? Estou rodando > toda a Internet, foruns, livros.. mas.. está difícil de chegar na solução! Para voce alterar a porta de conexao do ssh voce precisa: Servidor: acrescentar no final do arquivo sshd_config, os seguintes parametros: Alterar o parametro para no arquivo sshd_config. No SuSE ele fica no diretorio /etc/ssh Alem disso, no SuSE, para executar duas instancias do sshd, uma na porta 22 e outra na porta xxxx tive que acrescentar o parametro:   no sshd_config, e, duplicar e alterar o script /etc/rc.d/sshd. Cliente:   passar o parametro <-p xxx> na execuçao do ssh Joaquim abc ********************************************************************** De:  Thiago Amaury Ferraz Para:  Linux-BR Assunto:  (linux-br) (Resultado/Solução) Fw: SSH para porta diferente Data:  Mon, 7 Jun 2004 08:56:34 -0300 Agradeço a todos que me ajudaram com este problema.. e gostaria de documentar a solução à qual chegamos! Para o uso da unidade de fita remota.. foi necessário o uso do comando ssh-keygen -t rsa para uma conta de usuário na máquina que utilizará a unidade de fita remota.. então.. é necessário colocar essa chave no servidor da unidade.. Obrigado! TAF ----- Original Message ----- From: "Thiago Amaury Ferraz" To: "Linux-BR" Sent: Wednesday, June 02, 2004 11:35 AM Subject: SSH para porta diferente > Olá lista! > > Continuo com problemas para utilizar uma unidade de fita remota.. acredito > que falta muito pouco para solução desse problema, penso estar sendo > limitado pelo meu próprio conhecimento sobre o SSH.. e trabalho com portas > diferentes.. estou executando o seguinte comando: > > find . | cpio -ocvB -F ipHost:/dev/rmt/1mn > > E o erro mostrado é como se faltasse algo, então testei o mesmo comando em > uma máquina com SSH.. uma vez que a primeira máquina não possui SSH(porta > 22), somente telnet(porta 23).. e o erro é justamente.. port 22: Connection > refused ou seja SSH.. na máquina com SSH executando, funciona.. o problema é > que não posso ativar o SSH na primeira máquina, uma vez que a máquina não > está sob minha responsabilidade e não estou conseguindo negociar a ativação > do serviço(burocracia).. gostaria de saber como utilizar portas diferentes.. > ou seja.. usar a porta telnet remota para o envio do resultado do comando > acima.. > > Alguem pode me ajudar com relação a configuração do SSH!? O interessante é > que na máquina com o SSH, a senha é solicitada.. no entanto em outras > distribuições.. não é solicitada!? Acredito que sejam os detalhes da > configuração do SSH.. alguém tem alguma dica sobre o assunto!? Estou rodando > toda a Internet, foruns, livros.. mas.. está difícil de chegar na solução! > > Agradeço desde já! > TAF > ********************************************************************** De:  Marcelo Vivan Borro Para:  Leonardo Pinto Cc:  Lista Conectiva (E-mail) Assunto:  Re: RES: RES: (linux-br)Liberar Firewall para VNC Data:  Mon, 07 Jun 2004 22:03:40 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Leonardo Pinto escreveu: | Olá Marcelo, | | Sempre vejo vcs falarem desse tal de ssh -X, mas acho eu que ou a | coisa seria bem simples ou realmente comigo não funciona. Executo um | X qq/ da vida do lado servidor e do lado cliente também, só que ao | executar o tão falado "ssh -X" só me abre mais um terminal como outro | qualquer, ou seja sem interface gráfica do servidor. Meu servidor ssh | está configurado pra aceitar X como: X11Forwarding yes | X11DisplayOffset 10 Está correto... | | | Obs.: Se eu tento executar um kde, xinit ou outro qq/, ele | simplesmente executa, só que do lado servidor, do meu lado cliente só | mesmo as mensagens do X, é isso mesmo?! Ou minha pretensão é | demais?!! Veja bem, você não vai executar um servidor X via ssh.  O ssh -X vai apenas direcionar a saída gráfica de uma aplicação para uma conexão ssh. Por exemplo, conecte em uma máquina qualquer: ssh -X usuario@maquininha.com.br Depois de conectado execute alguma aplicação gráfica: [usuario@maquininha marcelo]$ kmines E uma janela do kmines deve abrir em sua tela.  Porém ele estará sendo executado na máquina remota. - -- Marcelo Vivan Borro Linux User # 277064 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.3 (GNU/Linux) ********************************************************************** De:  Claudio Polegato Jr. Para:  cpd.sebs@terra.com.br, linux-br@bazar2.conectiva.com.br Assunto:  RE: (linux-br)Como copiar arquivos pelo ssh Data:  Thu, 17 Jun 2004 12:37:45 -0300 Olá  Você pode utilizar o konqueror com o protocolo "fish". Ex.: fish://micro.com.ssh.ativo ou fish://192.168.1.100  Utilizando o console, use o sftp, mas primeiramente você precisa ativar o sftp sobre o protocolo ssh. Para isso abra o arquivo /etc/ssh/sshd_config com algum editor e desconte a linha: #Subsystem       sftp    /usr/libexec/sftp-server retirando o # da frente ou, se não encontrá-la, adicione-a neste arquivo sem o #. []'s Claudio > > Pessoal como eu faço para copiar um arquivo via ssh. ********************************************************************** De:  Carlos Para:  Linux-BR@bazar2.conectiva.com.br Assunto:  RE: (linux-br)SCP - SFTP - Modo ñ Interativo... Data:  Fri, 18 Jun 2004 12:36:07 +0000 Voce pode criar chaves ssh para isso, na maquina origem voce (su usuario que ira logar) utilizar o comando : ssh-keygen -t rsa  Va dando ENTER, depois: cd ~/.ssh scp id_rsa.pub ip:/home/USER/.ssh/authorized_keys  Apos isso voce estara apto a logar na maquina remota sem necessidade de entrar com senha.      '>'Pessoal,  '>'     tem alguma forma de utilizar o comando scp ou sftp em modo não  '>'interativo para que possa fazer alguns scripts que rodam no cron??  '>'  '>'Valeu...  '>' ********************************************************************** De:  Viktor Mota Responder-a:  Viktor Mota Para:  Cpd da Aesc , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Como copiar arquivos pelo ssh Data:  Fri, 18 Jun 2004 09:36:03 -0300 Olá Cpd da Aesc, quinta-feira, 17 de junho de 2004, 12:07:10, você escreveu: CdA> Pessoal como eu faço para copiar um arquivo via ssh. Aprendi na marra... ai esta fruto de meu conhecimento: Como usar o comando SCP Ex.: # Pega o arquivo tree.sh no servidor 6 (Neste caso ele sera copiado com outro nome (tree.ss)) scp viktor@192.168.0.6:/home/remote/viktor/public_html/linux/advanced-bash/scripts/tree.sh ./tree.ss # Manda o arquivo tree.sh para o servidor 8 (Neste caso ele sera copiado com o mesmo nome) scp /home/remote/viktor/public_html/linux/advanced-bash/scripts/tree.sh viktor@192.168.0.8:~/ # Manda mais de um arquivo (arquivos: insere e arruma) para o servidor 7 scp ./insere ./arruma viktor@192.168.0.7:~/ Espero ter ajudado! []s Viktor Mota fulano2001@terra.com.br ********************************************************************** De:  Carlos Para:  Linux-BR@bazar2.conectiva.com.br Assunto:  RE: (linux-br)SCP - SFTP - Modo ñ Interativo... Data:  Fri, 18 Jun 2004 12:36:07 +0000 Voce pode criar chaves ssh para isso, na maquina origem voce (su usuario que ira logar) utilizar o comando : ssh-keygen -t rsa  Va dando ENTER, depois: cd ~/.ssh scp id_rsa.pub ip:/home/USER/.ssh/authorized_keys  Apos isso voce estara apto a logar na maquina remota sem necessidade de entrar com senha.      '>'Pessoal,  '>'     tem alguma forma de utilizar o comando scp ou sftp em modo não  '>'interativo para que possa fazer alguns scripts que rodam no cron??  '>'  '>'Valeu...  '>' ********************************************************************** De:  William da Rocha Lima Responder-a:  William da Rocha Lima Para:  Marcelo Marra Assis , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Redirecionar Porta SSH para um servidor da rede interna Data:  Wed, 11 Aug 2004 14:25:45 -0300 Caro Marcelo, Neste exemplo estou direcionando a porta 22 (do SSH) na conexão com a internet (eth0) para o micro 192.168.0.2 da rede local: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-dest 192.168.0.2 iptables -A FORWARD -p tcp -i eth0 --dport 22 -d 192.168.0.2 -j ACCEPT Mais informações: http://www.linuxit.com.br/section-viewarticle-295.html Falou, William da Rocha wrochal@linuxit.com.br www.linuxit.com.br ********************************************************************** De:  Klemen Berti Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)OpenSSH, chroot no $home é possivel? Data:  Tue, 17 Aug 2004 19:44:06 -0300 Olá Morvan, È possivel sim, da uma olhada aki: http://www.jmcresearch.com/projects/jail/ Jail Chroot Project is an attempt of write a tool that builds a chrooted environment. The main goal of Jail is to be as simple as possible, and highly portable. The most difficult step when building a chrooted environment is to set up the right libraries and files. Here, Jail comes to the rescue with a tool to automagically configures & builds all the required files, directories and libraries. Jail is licensed under the GNU General Public License. Jail program has been written using C, and the setup script has been written using a bash script and perl. Jail has been tested under Linux (Debian 2.1 & 2.2, RedHat 6.1, 6.2 and 7.0 and Caldera Openlinux 7.0), Solaris (2.6), IRIX (6.5) and FreeBSD 4.3. Some people has contributed to jail with patches and ideas. Thanks to all of them. []z Klemen Morvan Wrote: É possível limitar (chroot) um usuário ao seu $home com o OpenSSH? Morvan. ********************************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) OpenSSH, chroot no $home é possivel? Data:  Tue, 17 Aug 2004 23:22:18 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Morvan wrote: >É possível limitar (chroot) um usuário ao seu $home Sim. >com o OpenSSH? Não acho que o OpenSSH tenha essa funcionalidade. Mas lembre-se que se você usar chroot, dentro do diretório $HOME (e não $home) do usuário, ele deve ter todos os programas que vai precisar, inclusive /bin/bash, /bin/ls, etc., e também as bibliotecas que esses programas precisarem (exemplo, /lib/libc.so.6). Repito: *dentro* do chroot. Symlink não serve, embora mount --bind sim. Hardlinks para os arquivos também servem, mas hardlinks para diretórios não são permitidos. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint:     E067 918B B660 DBD1 105C  966C 33F5 F005 6EF4 5358 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) ********************************************************************** De:  Paulo Roberto Oliveira Junior Para:  Eloir Meneguete Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Rodar Programa remoto no SSH para o X local...! Data:  Mon, 30 Aug 2004 15:55:36 -0300 (BRT) Olá Eloir, Antes de executar o ssh xhost + ssh usuario@maquina.destino Na máquina acessada pelo ssh export DISPLAY=maquina.origem:0 caminho_do_aplicativo []'s     Junior ********************************************************************** De:  Guerreiro - Linux Para:  rod_lisilva@ig.com.br, linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Lock Samba e NFS Data:  Wed, 22 Sep 2004 12:19:03 -0300 Nem tudo esta perdido, existe uma luz no fim do tunel,,,,,brincadeira. Tem algo que ainda nao consegui fazer, estava mexendo nisto a alguns dias atras, mais to sem tempo nenhum para dar umas fuçadas no micro. :  Voce pode usar o ssh em modo grafico no windows, assim voce tera a parte grafica do seu cobol.... sei que para isto, voce deve ter instalado no micro com windows,   o cgwin ou o  nxclient, para o nxclient, no servidor tem que instalar o nxserver, e assim o nxclient do windows acessa o linux pelo modo grafico, agora eu ja nao sei como e o seu programa em cobol...neste caso quem sabe seja este o caminho, por que assim voce estara em ssh em nao usando unidade de redes mapeadas. Devair No histórico da lista tem essa mesma dica que vc me passou, muito obrigado, mas o telnet ou o ssh nao resolveria o meu problema, pois o programa tem interface gráfica :-( Estou pensando em utilizar o ltsp, pras estações rodarem direto no servidor, isso resolveria parte do problema. Mas as estações com Windows (Não adianta, não tenho como me livrar!!!) teriam q continuar acessando via samba. Habilitei a opção de lock no smb.conf mas o sistema ficou muito lento e travando! Rodrigo ********************************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Desabilitar chave RSA Data:  Mon, 27 Sep 2004 21:47:07 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Antonio César Assunção Moura wrote: >The authenticity of host '127.0.0.1 (127.0.0.1)' can't be established. >RSA key fingerprint is 5a:15:c9:6a:68:fb:c0:1a:5f:9e:ce:29:02:92:83:21. >Are you sure you want to continue connecting (yes/no)? > >Olá lista tem algum parâmetro que desabilita a chave acima não aparecer no >momento de login??? Não. Você pode trocar pela chave DSA, mas continua tendo. - --   Thiago Macieira  -  Registered Linux user #65028    thiago (AT) macieira (DOT) info     ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint:     E067 918B B660 DBD1 105C  966C 33F5 F005 6EF4 5358 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.5 (GNU/Linux) ********************************************************************** De:  scsantos at unigranrio com br Para:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br) [Solução] Cliente gráfico para scp Data:  Thu, 18 Nov 2004 14:09:20 -0200 Acabei por escrever uma solução de uma GUI para transferir arquivos via SCP, bem como os link necessários e variável. A solução foi dada utilizando um pacote de classes feitas em Java. As instruções estão em http://www.gulbf.com.br Um fraterno abraço       Silvio Cesar L. dos Santos   Divisão de Tecnologia da Informação Universidade do Grande Rio - UNIGRANRIO  (o_  //\            - Software Livre -  V_/_     conhecimento ao alcance de todos ********************************************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  Ederson L. Correa Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Liberar ssh apenas para alguns IPs Data:  Tue, 4 Jan 2005 11:03:44 -0300 Olá! > Queria saber se o OpenSSH me permite liberar o acesso a ssh apenas a > determinados endereços IPs ?? Algo semelhante ao AllowUsers, só que para > IPs ... > Eu li a manpage do sshd_config mas não achei nada. Bom, acho que vc deixou passar. Na opção AllowUsers você pode colocar algo como: AllowUsers usuario1@nome.da.maquina.de.origem usuario2@ip.da.maq.origem Abraço! Alejandro Flores De:  Silvio Antonio Donegá Responder-a:  Silvio Antonio Donegá Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Liberar ssh apenas para alguns IPs Data:  Mon, 3 Jan 2005 22:58:39 -0200 Já tentou utilizar o /etc/hosts.allow e o /etc/hosts.deny ? Pra mim dá certo.. basta vc colocar no /etc/hosts.deny ALL:ALL e no /etc/hosts.allow sshd: (pode acrescentar varias linhas desta para liberar vários ips) -- ================= Silvio Antonio Donegá São José do Rio Preto - SP uin: 62485929 De:  Henrique Cesar Ulbrich Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Liberar ssh apenas para alguns IPs Data:  Mon, 3 Jan 2005 23:34:42 -0200 Historiadores acreditam que, em Sáb 01 Jan 2005 22:52, Ederson L. Correa disse: > Queria saber se o OpenSSH me permite liberar o acesso a ssh apenas a > determinados endereços IPs ?? Algo semelhante ao AllowUsers, só que para > IPs ... > > Eu li a manpage do sshd_config mas não achei nada. > Ou vou ter que fazer isso através de regras no firewall (iptables) ?? Nenhum nem outro. Se vc tem o tcp_wrappers instalado (e provavelmente tem), basta colocar os endereços no /etc/hosts.allow. -- Henrique We've always had him! http://www.ericblumrich.com/thanks.html De:  Ederson L. Correa Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Liberar ssh apenas para alguns IPs Data:  Tue, 04 Jan 2005 15:10:37 -0200 Alejandro Flores wrote: Bom, acho que vc deixou passar. Na opção AllowUsers você pode colocar algo como: > AllowUsers usuario1@nome.da.maquina.de.origem usuario2@ip.da.maq.origem > Exatamente Alejandro ... quando a gente ta de cabeça quente não percebe os detalhes. Passei batido no user@host lá da man page ... Valeu pelo toque ... esta funcionando perfeitamente aqui. Só aproveitando, o grande problema de se usar os dois /etc/hosts.*, é que no meu /etc/inetd.conf não tem uma linha referente a ssh. Então quando eu edito esses arquivos e rodo o tcpdchk para checar se ta tudo certo, ele me retorna erro dizendo que não existe uma referencia a ssh no inetd.conf. Será que se eu copiar a linha do telnet funfa ?? Algo do tipo: ssh stream  tcp     nowait  root    /usr/sbin/tcpd  sshd Acho q vou testar. []'s --  Õ¿Õ¬  Ederson L. Corrêa ********************************************************************** De: Klemen Berti Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)OpenSSH, chroot no $home é possivel? Data: Tue, 17 Aug 2004 19:44:06 -0300 Olá Morvan, È possivel sim, da uma olhada aki: http://www.jmcresearch.com/projects/jail/ Jail Chroot Project is an attempt of write a tool that builds a chrooted environment. The main goal of Jail is to be as simple as possible, and highly portable. The most difficult step when building a chrooted environment is to set up the right libraries and files. Here, Jail comes to the rescue with a tool to automagically configures & builds all the required files, directories and libraries. Jail is licensed under the GNU General Public License. Jail program has been written using C, and the setup script has been written using a bash script and perl. Jail has been tested under Linux (Debian 2.1 & 2.2, RedHat 6.1, 6.2 and 7.0 and Caldera Openlinux 7.0), Solaris (2.6), IRIX (6.5) and FreeBSD 4.3. Some people has contributed to jail with patches and ideas. Thanks to all of them. []z Klemen Morvan Wrote: É possível limitar (chroot) um usuário ao seu $home com o OpenSSH? Morvan. ********************************************************************** De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)ssh - recuperar conexao perdida Data: Wed, 6 Apr 2005 21:02:06 -0300 Israel Filho wrote: >Caros colegas, >Tenho o seguinte problema: Um programa está sendo executado no servidor > via conexao ssh. O usuário (desligado) desliga a máquina local sem sair > do programa remoto o qual fica "pendurado" no servidor. > >É possível refazer a conexão ssh e executar o programa "pendurado" a fim > de encerrá-lo corretamente? Não, o ssh não faz isso. Mas o screen faz. Dê uma olhada nos manuais dele. -- Thiago Macieira - thiago (AT) macieira (DOT) info PGP/GPG: 0x6EF45358; fingerprint: ********************************************************************** De: Oséias Ferreira Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) Segurança: snort e chkrootkit Data: Wed, 13 Apr 2005 19:19:05 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Este é um robô antigo que fica tentando conectar na porta 22, com usuarios e senhas padrões. Estou rodadndo o ssh em outra porta. Depois disto nunca mais apareceu nos logs. Ative o log no modo debug, se possivel. Digo se possível, pois neste nível o log é bastante invasivo. Se o seu servidor é para uso próprio, beleza. Agora se tiver terceiros utilizando, não é legal ativar este nível de log. Mais detalhes em: http://www.rnp.br/cais/alertas/2004/cais-alr-20041026.html - -- Oséias. Leandro de Rezende escreveu: > Olá pessoal, > > Meu sistema (uso CL10) tem sido alvo de tentativas de invasão (por "força > bruta", via ssh), se é que já não foi (por esta ou outras vias) e eu não > estou > nem sabendo. > > Aparecem no /var/log/messages várias tentativas de logar no sistema com > nome de > vários usuários (uns 50 diferentes), como "admin", "joao", "teste", > "root", etc. > (O meu sshd está configurado para não permitir login remoto do root). Ex: -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (MingW32) ********************************************************************** De: Alejandro Flores Responder A: Alejandro Flores Para: Leandro de Rezende Cc: Lista de disc. conectiva Assunto: Re: (linux-br) Segurança: snort e chkrootkit Data: Wed, 13 Apr 2005 18:32:37 -0300 Olá, > Olá pessoal, > Meu sistema (uso CL10) tem sido alvo de tentativas de invasão (por "força > bruta", via ssh), se é que já não foi (por esta ou outras vias) e eu não estou > nem sabendo. Normal, acho que hoje em dia todos que utilizam o ssh na porta padrão tem recebido estas tentativas. Da uma olhada nessa dica aqui que encontrei pesquisando no google ;-) http://www.dicas-l.com.br/dicas-l/20050113.php > Aparecem no /var/log/messages várias tentativas de logar no sistema com nome de > vários usuários (uns 50 diferentes), como "admin", "joao", "teste", "root", etc. > (O meu sshd está configurado para não permitir login remoto do root). Ex: > ---- > Failed password for illegal user steve from 210.68.8.169 port 50195 ssh2 > ---- O programa de ataque por força bruta utiliza vários nomes comuns e senhas fracas. > Instalei o snort para tentar verificar rastros de possíveis invasões, mas não > entendo muito dele ainda. Sei que quando executo "snort -vd", por exemplo, a > interface eth0 entra em modo promíscuo (/var/log/messages): Então é bom começar a estudar o snort. Ter uma ferramenta de segurança, não saber usar e achar que está seguro é péssimo. Existem vários tutorias na internet de como utilizar o snort fazendo log em banco de dados + BASE para análise dos eventos gerados. > --- > Apr 13 15:46:08 micro kernel: eth0: Promiscuous mode enabled. > Apr 13 15:46:08 micro kernel: device eth0 entered promiscuous mode > Apr 13 15:46:40 micro kernel: device eth0 left promiscuous mode > --- > Alguém sabe se isto é normal? O que é o modo promíscuo da interface eth0? Normal. Quando você configura sua interface de rede, ela só vai receber pacotes destinados ao IP configurado. Quando ela entra em modo promiscuo, ela vai escutar todos os pacotes que passarem por ela, e assim conseguir analisar todo o tráfego. Se você não quer que a interface entre em modo promíscuo, pois você só está interessado em detectar ataques destinados a sua máquina, utilize a opção -p do snort. > Pois bem, também instalei o programa chkrootkit (http://www.chkrootkit.org/) que > realiza alguns testes para detectar rootkits (programas que apagam os rastros > de invasões). Compilei, executei-o e um item de sua verificação deu tudo normal, > exceto a seguinte mensagem: > Checking `bindshell'... INFECTED (PORTS: 114) > Dei o comando lsof -i tcp:114 mas não havia nenhum processo utilizando esta porta. > Alguém sabe o que é exatamente este bindshell, o que faz a porta 114, e alguém > já passou por esta experiência? Pode ser um falso positivo, mas cuidado. Verifique cuidadosamente seu servidor. O Bindshell é um backdoor que permite que um hacker inicie uma sessão shell interativa no seu micro sem precisar efetuar login e sem ser 'logado' por syslog. > Alguém pode me dar alguma dica de como enfrentar este tipo de invasão "por força > bruta", ou seja, como melhorar as condições de segurança? É isso ai. No mais, muito estudo e cuidado antes de colocar um servidor plugado na internet. -- Abraço! Alejandro Flores http://www.triforsec.com.br/ ********************************************************************** De: Antonio da Silva Martins Junior Para: Carlos Linux Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)=?iso-8859-1?q?Alterando_senha_de_Root_de_todas_as_esta=E7=F5es?= Data: Mon, 2 May 2005 15:12:08 -0300 (BRST) On Mon, 2 May 2005, Carlos Linux wrote: > Consigo acessar remotamente as estações via ssh usando autenticação de > chaves publica sem precisar digitar senha. > > Mas seu eu coloco em um script > ssh 10.xxx.xxx.1 echo "senha" | passwd --stdin root > > o script só executa o segundo comando após eu dar um exit da estação > 10.xxx.xxx.1 e aí altera a senha da maquina local. > > Alguém tem alguma sugestão??? Duas: 1- Procure pelo aplicativo C3 no google (+linux +cluster +c3) 2- coloque o comando a executar entre aspas: ssh host "cmd1 | cmd2" Antonio. De: Claudio Polegato Junior Para: Carlos Linux Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Alterando senha de Root de todas as estações Data: Tue, 3 May 2005 02:29:47 -0300 (EST) Olá, Para usar o ssh para executar um comando, deve-se ser dessa forma: $ssh usuário@computador 'comando' Agora preste atenção que o pipe (simbolizado no bash por "|") pode ocasionar falhas, mas não sei dizer ao certo. Outra coisa, para usar o passwd deve-se logar via ssh como root, então, para prover maior segurança, aconselho a fazer uma configuração específica em cada máquina rodando o ssh servidor especificando que o root somento pode logar a partir da(s) máquina(s) que esta usuando. []'s Claudio Um peregrino de problemas; Um pergaminho de soluções. > Mas seu eu coloco em um script > ssh 10.xxx.xxx.1 > echo "senha" | passwd --stdin root ********************************************************************** De: Jorge Godoy Para: Carlos Linux Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) Autenticação via SSH utilizando chave privad a?= Data: 03 May 2005 15:59:23 -0300 Carlos Linux writes: > Estou pensando em copiar uma chave pública ssh para todas as minhas estações > linux e acessa-las vi ssh de uma máquina com um certificado privado. Porém > criei o certificado sem usar senha para que ao fazer login remoto não fosse > solicitada a senha facilitando assim a criação de scripts. Aí eu pergunto > ... é seguro criar certificado sem senha de proteção? (tendo como premissa > que o certificado privado será guardado a 7 chaves) Se a "premissa" falhar, você compromete automaticamente todas as máquinas. Eu colocaria uma senha e usaria o ssh-agent depois, assim você digia apenas uma vez. -- Jorge Godoy ********************************************************************** De: Cesar Grossmann Responder A: Cesar Grossmann Para: Linux-BR Assunto: Re: (linux-br) Tentativa de invasão Data: Thu, 5 May 2005 09:06:59 -0300 Em 04/05/05, Marcel de Lima escreveu: > Você está usando SSH na porta 22 ? Se for, mude para um porta alta (5000 por > exemplo), pois estes tipos de ataques sao frequentes nesta porta.. Matéria no Unix Insider, uma newsletter do ITWorld.com (chegou hoje) * Running SSH on a non-standard port http://ui.unixinsider.com/GoNow/a14724a127576a321803431a1 []s -- .O. Cesar A. K. Grossmann ICQ: 35659423 ..O http://www.LinuxByGrossmann.cjb.net/ OOO Quidquid Latine dictum sit, altum viditur ********************************************************************** De: Luiz Henrique Gomes Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) Tentativa de invasão Data: Wed, 4 May 2005 11:37:08 -0300 Veja o artigo: http://www.vivaolinux.com.br/scripts/impressora.php?codigo=656 Luiz Henrique Gomes Gerente de Projetos TreyNet Consultoria - Uberlândia Tel : 55 34 3211-2525 Cel : 55 34 9197-7559 www.treynet.com.br ********************************************************************** De: Jorge Godoy Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)SSH lento para autenticar. Data: 15 Jun 2005 11:45:32 -0300 "Flavio Torres" writes: > Caso a sua conexao via ssh seja na sua LAN, a coisa pode parecer pior, > comandos como # ps aux e # free -m, podem te dar uma luz. Não se esqueçam da configuração correta do DNS. A máquina vai registrar a origem da conexão, avaliar se ela tem permissão, etc. e o DNS pode ter um impacto significativo no processo. -- Jorge Godoy ********************************************************************** De: Oséias Ferreira Para: Lista LINUX-BR Assunto: Re: (linux-br)SSH lento para autenticar. Data: Thu, 16 Jun 2005 01:36:38 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Rota padrão não adianta. Se for problema de rota, não vai autenticar nunca, pois os pacotes simplesmente não chegam ao destino. Provavelmente o problema, é que o ssh não consegue resolver o reverso. 1- Configurar o DNS reverso. 2- Colocar o nome das máquinas no /etc/hosts, com seus respectivos IPs. A segunda opção, é meio gambiarra. Só se você tiver poucas máquinas na rede. Dê uma olhada nos logs, para ver se realmente é isto. Abraço. - -- Oséias Ferreira. marcelo escreveu: > Tive este mesmo problema. Demorava para autenticar > mesmo na lan. > > no meu caso fiz o seguinte > > retirei e recoloquei a rota padrao. ********************************************************************** De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)restringir acesso ao ssh por ip usando iptables Data: Thu, 15 Sep 2005 22:29:05 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 webmaster wrote: >ola lista, > >alguem saberia me dizer como faco para restringir o acesso ssh por ip? iptables -A INPUT -p tcp -s $IP_PERMITIDO --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j DROP - -- Thiago Macieira - thiago (AT) macieira.info - thiago (AT) kde.org PGP/GPG: 0x6EF45358; fingerprint: E067 918B B660 DBD1 105C 966C 33F5 F005 6EF4 5358 5. Swa he géanhwearf tó timbran, and hwonne he cóm, lá! Unix cwæð "Hello, World". ?fre ?ghwilc wæs glæd and seo woruld wæs fréo. ********************************************************************** De: "Ederson L. Corrêa" Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Restringir conexão via SSH por usuário para acessos externos Data: Tue, 11 Oct 2005 21:11:55 -0300 CPD - Rextur wrote: > Caros colegas, estou precisando restringir o acesso somente externo de > alguns usuário via ssh, mas permitindo que internamente eles possam ter > acesso, procurei na net e não encontrei nada do genero, alguem teria uma > dica. Não sei se existe uma forma mais elegante, mas vc pode utilizar a opção AllowUser do sshd_config. Supondo que a sua rede interna tenha IP do tipo 10.0.0.X, vc poderia acrescentar algo como: AllowUser *@10.0.0.* User_externo User2_externo ... Onde: *@10.0.0.* -> libera o login de qualquer um desde que acessando da rede interna User_externo -> Usuário que poderá acessar externamente ... T+ -- Ederson L. Corrêa _ °v° edersonlc at gmail dot com /(_)\ UIN: 144757004 / MSN: edersonlc ^ ^ "Try not. Do. Or do not. There is no try." (Yoda) ********************************************************************** De: Rafael Santos Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Restringir conexão via SSH por usuário para acessos externos Data: Wed, 12 Oct 2005 14:49:02 -0300 Em /etc/ssh/sshd_config adicione as linhas ( ou uma delas apenas): AllowGroups grupo_que_tera_acesso AllowUsers usuario_que _tera_acesso Só isso resolve o problema. Flws Rafael Em 11/10/05, CPD - Rextur escreveu: > Caros colegas, estou precisando restringir o acesso somente externo de > alguns usuário via ssh, mas permitindo que internamente eles possam ter > acesso, procurei na net e não encontrei nada do genero, alguem teria uma > dica. ********************************************************************** De: Emerson Fregona Para: linux-br@bazar2.conectiva.com.br Assunto: Fw: (linux-br)erro no ssh Data: Tue, 24 Jan 2006 15:24:58 -0200 Opa, Vai no teu /etc/ssh/sshd_config e sete: UseDNS no Abracos, > > >alguem sabe me dizer q erro eh esse ??? > > > > > >sshd[13368]: reverse mapping checking getaddrinfo for > > >200-163-005-248.bsace705.dsl.brasiltelecom.net.br failed - POSSIBLE > > >BREAKIN ATTEMPT! De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)erro no ssh Data: Tue, 24 Jan 2006 10:18:43 +0100 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 >alguem sabe me dizer q erro eh esse ??? > >sshd[13368]: reverse mapping checking getaddrinfo for >200-163-005-248.bsace705.dsl.brasiltelecom.net.br failed - POSSIBLE >BREAKIN ATTEMPT! Significa que o pessoal da BrT fez besteira: $ host 200.163.5.248 248.5.163.200.in-addr.arpa domain name pointer 200-163-005-248.bsace705.dsl.brasiltelecom.net.br. $ host 200-163-005-248.bsace705.dsl.brasiltelecom.net.br. Host 200-163-005-248.bsace705.dsl.brasiltelecom.net.br not found: 3 (NXDOMAIN) - -- Thiago Macieira - thiago (AT) macieira.info - thiago (AT) kde.org PGP/GPG: 0x6EF45358; fingerprint: E067 918B B660 DBD1 105C 966C 33F5 F005 6EF4 5358 4. And æfter se scieppend ingelogode, he wrát "cenn", ac eala! se rihtendgesamnung andswarode "cenn: ne wát hú cennan 'eall'. Ástynt." ********************************************************************** De: Flavio Torres Para: linux-br Assunto: Re: (linux-br)slackware - negar login simultaneo via ssh Data: Tue, 24 Jan 2006 13:55:42 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 > Ola pessoal, > > Uso slackware a um bom tempo, porem estou com uma duvida de como nao > permitir login simultaneo, ex.: se o usuario1 ja estiver conectado ao > ele tentar se conectar novamente o servidor barrar isso. > > tive tentando instalar o linux PAM aqui no meu slack mais nao consegui. Este script deve ficar ao final do .bashrc de cada usuario. if [ $(who | awk '{ print $1 }' | sort | uniq -d) ] ; then exit fi - -- []'s Flavio Torres - Administrador de Sistemas ____________________________________________________________________ PGP/GPG: KeyID 0x7720DBDE http://keyserver.veridis.com:11371/export?id=3824682698507607006 main(){printf(&unix["\021%six\012\0"],(unix)["have"]+"fun"-0x60);} ********************************************************************** De: Rodrigo Lima Para: rsantana@cds.eb.mil.br Cc: LINUX Assunto: Re: (linux-br)Problemas com SSH Data: Thu, 26 Jan 2006 00:07:18 -0200 Em Ter, 2006-01-24 às 14:32 -0200, rsantana@cds.eb.mil.br escreveu: > Ola pessoal > Tenho duas máquinas com IP fixo: 10.1.1.71 (debian sarge - maquina A) e > 10.1.1.75 (fedora 3 - maquina B). Consigo fazer A pingar B e B pingar A. B > faz ssh para A, mas A não faz ssh para B. Assim, entendo que o problema está > no servidor SSH do fedora core 3. Você poderia utilizar tcpdump para verificar o que está acontecendo com os pacotes que chegam na máquina B. Bom, teria que verificar também se não existe nenhuma regra de Firewall: iptables -L Verificar se o sshd está rodando em qualquer interface. netstat -tuanp Por último, ainda desconfio do Selinux. -- Rodrigo Lima ********************************************************************** De: sergio.ps Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) SSH sem senha Data: Thu, 8 Jun 2006 12:56:42 -0300 Olá Macieira, blz ? Tem razão... o Conectiva estava mesmo procurando pelo .ssh/authorized_keys2 Valeu pela ajuda Macieira. Zago, valeu pelo site. Obrigado, Sérgio. > sergio.ps wrote: >>cat identity.pub >> .ssh/authorized_keys na máquina B > > O Conectiva pode estar procurando por .ssh/authorized_keys2 (SSH v2). > > - -- > Thiago Macieira - thiago (AT) macieira.info - thiago (AT) kde.org **********************************************************************