Não precisa colocar em todos servidores. Já que geralmente eles participam de uma rede local. Uma vez a conexão vpn estabelecida, terá acesso a todos eles.<br><br>Senão for implementado algo como Port Knocking ou afins... simplesmente colocar senha forte ou mudar a porta do ssh não resolve um problema clássico. Brutal Force! Algo que depende apenas de tempo e processamento do atacante.<br>
<br>Com conexão vpn via troca de certificado diminui e muito o problema com a segurança. Isso sem falar que não é tão complicado!<br><br>Até!<br><br><div class="gmail_quote">2008/6/3 Cristiano Furtado <<a href="mailto:jasonnfedora@gmail.com">jasonnfedora@gmail.com</a>>:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">que o que rafael??? não vejo necessidade de criar em todos os<br>
servidores vpn para acesso remoto hehehe. Acho que seria somente criar<br>
segurança no proprio ssh. A inclusive o proprio ssh tem protocolos que<br>
funcionam tipo vpns pelo que li recentemente.<br>
<br>
2008/6/3 Rafael Gomes <<a href="mailto:linux.rafa@gmail.com">linux.rafa@gmail.com</a>>:<br>
<div><div></div><div class="Wj3C7c">> Eu ainda sou afavor de vpn! Simples e direta! Openvpn! Tranquilidade com um<br>
> certificado de 2048! Pronto! :D<br>
><br>
> 2008/6/2 André Felício <<a href="mailto:andre@felicio.com.br">andre@felicio.com.br</a>>:<br>
>><br>
>> Rau,<br>
>><br>
>> >  É um ataque de força bruta em SSH, "campeão de audiência" na internet<br>
>> > brasileira (veja<br>
>> > <a href="http://www.cert.br/stats/incidentes/2008-jan-mar/scan-portas.html" target="_blank">http://www.cert.br/stats/incidentes/2008-jan-mar/scan-portas.html</a>)<br>
>><br>
>> Campeão mesmo...<br>
>><br>
>> >  São robots que vasculham a internet atrás de portas 22 abertas e quando<br>
>> > acham, ficam tentando encontrar a senha usando palavras de  dicionário e<br>
>> > outras combinações (ella, elle, consuella, etc, conforme mostra teu<br>
>> > log).<br>
>> > Se você usa senhas fortes, o risco de sucesso do ataque é menor.<br>
>> ><br>
>> >  Se você não precisa do SSH, desabilite o deamon.<br>
>><br>
>> Uma boa pedida é um simples port-knock,<br>
>><br>
>> Exemplo alterando o script gerado pelo system-config-firewall:<br>
>><br>
>> -A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 22 --state<br>
>> NEW -j ACCEPT  --rcheck --name SSH<br>
>><br>
>> -A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1599<br>
>> --state<br>
>> NEW -j DROP  --name SSH --remove<br>
>> -A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1600<br>
>> --state<br>
>> NEW -j DROP  --name SSH --set<br>
>> -A RH-Firewall-1-INPUT -p tcp -m state -m tcp -m recent --dport 1601<br>
>> --state<br>
>> NEW -j DROP  --name SSH --remove<br>
>><br>
>><br>
>> Assim a porta 22 sempre estara fechada.<br>
>> Para abrir basta qualquer tentativa de conexão na porta 1600 e para<br>
>> fecha-la<br>
>> basta outra tentativa de conexão nas portas 1599/1601.<br>
>><br>
>> Gosto de utilizar as portas que fecham "cercando" a que abre, pois caso<br>
>> algum<br>
>> script tente varrer as portas abertas ele ira abrir a automaticamente<br>
>> fechar<br>
>> a 22.<br>
>><br>
>> --<br>
>> Att,<br>
>><br>
>> André Felício<br>
>> <a href="http://www.felicio.com.br" target="_blank">http://www.felicio.com.br</a><br>
>><br>
>>  It's ten o'clock. Do you know where your source code is?<br>
>><br>
>> --<br>
>> Fedora-users-br mailing list<br>
>> <a href="mailto:Fedora-users-br@redhat.com">Fedora-users-br@redhat.com</a><br>
>> <a href="https://www.redhat.com/mailman/listinfo/fedora-users-br" target="_blank">https://www.redhat.com/mailman/listinfo/fedora-users-br</a><br>
>><br>
><br>
><br>
><br>
> --<br>
> Rafael Gomes<br>
> Consultor em TI<br>
> Embaixador Fedora<br>
> (71) 8146-5772<br>
> --<br>
> Fedora-users-br mailing list<br>
> <a href="mailto:Fedora-users-br@redhat.com">Fedora-users-br@redhat.com</a><br>
> <a href="https://www.redhat.com/mailman/listinfo/fedora-users-br" target="_blank">https://www.redhat.com/mailman/listinfo/fedora-users-br</a><br>
><br>
><br>
<br>
<br>
<br>
--<br>
</div></div>Cristiano Furtado<br>
Gerente de TI - Projetos de Software Livre<br>
Embaixador do Fedora no Brasil<br>
<br>
Sites:<br>
<a href="http://www.projetofedora.org" target="_blank">http://www.projetofedora.org</a><br>
<a href="http://www.jasonnfedora.eti.br" target="_blank">http://www.jasonnfedora.eti.br</a><br>
<a href="http://www.fedora.org.br" target="_blank">http://www.fedora.org.br</a><br>
<a href="http://www.ekaaty.com.br" target="_blank">http://www.ekaaty.com.br</a><br>
<div><div></div><div class="Wj3C7c"><br>
--<br>
Fedora-users-br mailing list<br>
<a href="mailto:Fedora-users-br@redhat.com">Fedora-users-br@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/fedora-users-br" target="_blank">https://www.redhat.com/mailman/listinfo/fedora-users-br</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Rafael Gomes<br>Consultor em TI<br>Embaixador Fedora<br>(71) 8146-5772