O daemon está nos detalhes
Transcrição
O daemon está nos detalhes
Coluna do Charly COLUNA O daemon está nos detalhes Alguns dos meus servidores compartilham a porta 443 entre o SSH e o Apache com SSL. Conheça o sslh. S empre que estou em um cyber café, usando a rede sem fio de um hotel ou em um hotspot público de um aeroporto, encontro-me atrás de um firewall que recusa conexões na porta 22. Logicamente, qualquer firewall permite tráfego entre as portas 80 e 443. Em outras palavras, é uma boa ideia vincular o daemon SSH à porta HTTPS nos meus servidores. Isso evita túneis, e eu posso entrar no meu servidor com o simples comando ssh –p 443 usuário@máquina. Porém, se a porta HTTPS já estiver ocupada por um servidor web com SSL, tenho que inventar algum outro mecanismo. É aí que surge o sslh [1]. Os desenvolvedores dessa ferramenta a chamam de multiplexador SSL/ SSH. A ideia por trás disso é que o multiplexador escuta na porta 443 e descobre, nas conexões recebidas, se o cliente deseja falar HTTPS ou SSH com o servidor. Os serviços propriamente ditos usam as portas localhost:443 e localhost:22, respectivamente (figura 1). O sslh obtém essa informação a partir do arquivo /etc/defaults/sslh, que é parecido com o seguinte: RUN=yes DAEMON_OPTS=”-u sslh \ -p 10.50.5.42:443 \ -s 127.0.0.1:22 \ -l 127.0.0.1:443 \ -P /var/run/sslh.pid” Para saber qual protocolo está sendo requisitado, o sslh analisa o comportamento do cliente. No caso da chegada de uma conexão HTTPS, o cliente espera que o servidor sinalize que está pronto para receber. Um cliente que requisite uma conexão SSH não irá esperar e abrirá um diálogo por si só, e o sslh aguardará alguns instantes, normalmente dois segundos. Se o cliente não mandar nenhum dado neste ínterim, o sslh assume que a conexão é HTTPS e a encaminha para o servidor web em 127.0.0.1:443. Domínio do Apache Para restringir o servidor Apache ao localhost, é preciso alterar no arquivo de configuração o parâmetro que define o SSL na porta 443 para o valor 127.0.0.1:443. Estritamente falando, não é necessário vincular a porta SSH ao localhost, pois não há conflito com nenhum outro daemon na porta 22. No entanto, fiz isso por dois motivos: primeiro, para me proteger (e ao meu arquivo auth.log) de várias varreduras de portas que aparecem nesses endereços. Segundo, é possível acessar o servidor com um console serial caso o SSH ou o sslh falhem por alguma razão. n Mais informações [1]sslh: http://www.rutschle.net/tech/sslh Figura 1Para o Apache e o SSH não brigarem pela porta 443, o daemon sslh identifica os tipos de requisições – neste caso, SSH – e as transmite ao daemon responsável por ela. 10 Charly Kühnast é administrador de sistemas Unix no data center de Moers, Alemanha. Suas tarefas incluem segurança e disponibilidade de firewalls e DMZ. Ele divide seu tempo livre nos setores quente, molhado e oriental, nos quais se diverte com culinária, aquários de água doce e aprendizado de japonês, respectivamente. http://www.linuxmagazine.com.br
Documentos relacionados
Gerenciamento simultâneo
a colorização com o comando terminal_colorize = 0. Para alterar o tamanho padrão da tela de 24 linhas com 80 caracteres cada uma, use algo como: terminal_size = 120x32. Se o seu objetivo é tornar o...
Leia maisMonitore os daemons
s daemons Unix normalmente fazem seu trabalho discretamente em segundo plano. A tabela de processos, que é a saída do comando ps, só mostra que os serviços foram iniciados, embora na pior das hipót...
Leia maisdo Projeto
Após a instalação de um sistema operacional, deve ser feito uma analise dos programas instalados, a procura de programas que não serão utilizados, como já ditos anteriormente quanto menos aplicaçõe...
Leia mais