O daemon está nos detalhes

Сomentários

Transcrição

O daemon está nos detalhes
Coluna do Charly
COLUNA
O daemon está
nos detalhes
Alguns dos meus servidores compartilham a porta 443
entre o SSH e o Apache com SSL. Conheça o sslh.
S
empre que estou em um cyber café, usando a rede
sem fio de um hotel ou em um hotspot público de
um aeroporto, encontro-me atrás de um firewall
que recusa conexões na porta 22. Logicamente, qualquer firewall permite tráfego entre as portas 80 e 443.
Em outras palavras, é uma boa ideia vincular o daemon SSH à porta HTTPS nos meus servidores. Isso
evita túneis, e eu posso entrar no meu servidor com o
simples comando ssh –p 443 usuá[email protected]áquina. Porém,
se a porta HTTPS já estiver ocupada por um servidor
web com SSL, tenho que inventar algum outro mecanismo. É aí que surge o sslh [1]. Os desenvolvedores
dessa ferramenta a chamam de multiplexador SSL/
SSH. A ideia por trás disso é que o multiplexador escuta
na porta 443 e descobre, nas conexões recebidas, se o
cliente deseja falar HTTPS ou SSH com o servidor. Os
serviços propriamente ditos usam as portas localhost:443
e localhost:22, respectivamente (figura 1). O sslh obtém
essa informação a partir do arquivo /etc/defaults/sslh,
que é parecido com o seguinte:
RUN=yes
DAEMON_OPTS=”-u sslh \
-p 10.50.5.42:443 \
-s 127.0.0.1:22 \
-l 127.0.0.1:443 \
-P /var/run/sslh.pid”
Para saber qual protocolo está sendo requisitado, o
sslh analisa o comportamento do cliente. No caso da
chegada de uma conexão HTTPS, o cliente espera que
o servidor sinalize que está pronto para receber. Um
cliente que requisite uma conexão SSH não irá esperar
e abrirá um diálogo por si só, e o sslh aguardará alguns
instantes, normalmente dois segundos. Se o cliente não
mandar nenhum dado neste ínterim, o sslh assume que
a conexão é HTTPS e a encaminha para o servidor web
em 127.0.0.1:443.
Domínio do Apache
Para restringir o servidor Apache ao localhost, é preciso alterar no arquivo de configuração o parâmetro que
define o SSL na porta 443 para o valor 127.0.0.1:443.
Estritamente falando, não é necessário vincular a porta
SSH ao localhost, pois não há conflito com nenhum
outro daemon na porta 22. No entanto, fiz isso por dois
motivos: primeiro, para me proteger (e ao meu arquivo
auth.log) de várias varreduras de portas que aparecem
nesses endereços. Segundo, é possível acessar o servidor
com um console serial caso o SSH ou o sslh falhem
por alguma razão. n
Mais informações
[1]sslh: http://www.rutschle.net/tech/sslh
Figura 1Para o Apache e o SSH não brigarem pela porta 443, o
daemon sslh identifica os tipos de requisições – neste caso,
SSH – e as transmite ao daemon responsável por ela.
10
Charly Kühnast é administrador de sistemas Unix no data center de
Moers, Alemanha. Suas tarefas incluem segurança e disponibilidade de
firewalls e DMZ. Ele divide seu tempo livre nos setores quente, molhado
e oriental, nos quais se diverte com culinária, aquários de água doce e
aprendizado de japonês, respectivamente.
http://www.linuxmagazine.com.br

Documentos relacionados

Gerenciamento simultâneo

Gerenciamento simultâneo a colorização com o comando terminal_colorize = 0. Para alterar o tamanho padrão da tela de 24 linhas com 80 caracteres cada uma, use algo como: terminal_size = 120x32. Se o seu objetivo é tornar o...

Leia mais

Monitore os daemons

Monitore os daemons s daemons Unix normalmente fazem seu trabalho discretamente em segundo plano. A tabela de processos, que é a saída do comando ps, só mostra que os serviços foram iniciados, embora na pior das hipót...

Leia mais

do Projeto

do Projeto Após a instalação de um sistema operacional, deve ser feito uma analise dos programas instalados, a procura de programas que não serão utilizados, como já ditos anteriormente quanto menos aplicaçõe...

Leia mais