Ensinando seu servidor a ler emails e liberar acesso SSH
Esta solução baseia-se em um programa que recebe emails via console e os armazena em forma de arquivos de texto, um programa que envia emails via console e um script shell que trata os emails com base em algumas instruções pré-estabelecidas, sendo executado a cada 5 minutos.
[ Hits: 43.969 ]
Por: Kernel Panic em 14/11/2007 | Blog: http://nooooooooooooooo.com
Finalizando
Depois de tudo devidamente configurado, agora é o momento de colocar para rodar automaticamente através do crontab. Adicione a seguinte linha usando o comando:
# crontab -e usuário
Pontos importantes a considerar:
Agradecimento a equipe TI da D2D por doarem seus cérebros a ciência.
Kernel Panic
# crontab -e usuário
# Executar o script a cada 5 minutos
*/5 * * * * /bin/cmdemail.sh
*/5 * * * * /bin/cmdemail.sh
Pontos importantes a considerar:
- O tráfego de e-mail poderá ser facilmente interceptado e alguém poderá ler as informações contidas nos e-mails, mas ainda terá que passar pela segurança do próprio SSH.
- Não foi abordada nenhuma rotina para "desfazer" os comandos por considerar que uma vez conectado o resto pode ser feito manual.
Agradecimento a equipe TI da D2D por doarem seus cérebros a ciência.
Kernel Panic
Páginas do artigo
1. Apresentação2. Configurando o servidor para receber emails (Getmail)
3. Configurando o servidor para enviar emails (Email 2.5)
4. Configurando o servidor para "LER" os emails
5. Finalizando
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Bloqueando programas P2P com iptables
IPTables - Desvendando o mistério
Port Forward mais completo: caçando o fantasma da rede interna
Script de firewall e análise de log
Comentários
[1] Comentário enviado por thiagop em 14/11/2007 - 08:58h
Gostei da sua solução :)
Só fiquei preocupado em dar os direitos a todos os usuários a rodar o iptables no /etc/sudoers... mas dá-se um jeito ;)
Abraços e parabéns!
Gostei da sua solução :)
Só fiquei preocupado em dar os direitos a todos os usuários a rodar o iptables no /etc/sudoers... mas dá-se um jeito ;)
Abraços e parabéns!
[2] Comentário enviado por kpanic em 14/11/2007 - 09:49h
Saudações...
Concordo com você, eu avaliei desta forma também, entretanto a idéia é rodar estas rotinas como um usuário específico e atribuir apenas a este usuário poder utilizar o iptables através do comando sudo sem que precise passar a senha do root.
Exemplo [ /etc/sudoers ]:
gasper ALL = NOPASSWD: /usr/sbin/iptables
Nesse exemplo somente o usuário gasper tem a permissão e apenas para executar o comando iptables sem que lhe seja solicitado senha.
Esse "ALL" confunde um pouco. =]
Abraços
Kernel Panic
Saudações...
Concordo com você, eu avaliei desta forma também, entretanto a idéia é rodar estas rotinas como um usuário específico e atribuir apenas a este usuário poder utilizar o iptables através do comando sudo sem que precise passar a senha do root.
Exemplo [ /etc/sudoers ]:
gasper ALL = NOPASSWD: /usr/sbin/iptables
Nesse exemplo somente o usuário gasper tem a permissão e apenas para executar o comando iptables sem que lhe seja solicitado senha.
Esse "ALL" confunde um pouco. =]
Abraços
Kernel Panic
[3] Comentário enviado por thiagop em 14/11/2007 - 09:51h
Epa, comi bola hahaha valeu pelo lembrete!
E agora acho que ninugém mais se confunde ;)
Epa, comi bola hahaha valeu pelo lembrete!
E agora acho que ninugém mais se confunde ;)
[4] Comentário enviado por dedraks em 14/11/2007 - 10:25h
Muito legal o seu tutorial.
Eu gostaria de dar umas dicas:
1) Seria bom enviar os emails de forma criptografada ao invés de texto plano.
2) Melhor, enviar os emails usando chaves criptográficas. Aí o servidor só aceitaria emails que vierem de fontes seguras.
3) Colocar no script de logout do bash, o comando pra fechar a porta 22 novamente. Desso modo, ao se desconectar do servidor, a porta é fechada automaticamente.
Muito legal o seu tutorial.
Eu gostaria de dar umas dicas:
1) Seria bom enviar os emails de forma criptografada ao invés de texto plano.
2) Melhor, enviar os emails usando chaves criptográficas. Aí o servidor só aceitaria emails que vierem de fontes seguras.
3) Colocar no script de logout do bash, o comando pra fechar a porta 22 novamente. Desso modo, ao se desconectar do servidor, a porta é fechada automaticamente.
[6] Comentário enviado por elgio em 14/11/2007 - 10:58h
A, esqueci, porque mesmo que a solução por telepatia foi abandonada?
:-D
A, esqueci, porque mesmo que a solução por telepatia foi abandonada?
:-D
[7] Comentário enviado por y2h4ck em 14/11/2007 - 11:17h
Rapaz, sem querer desmerecer seu artigo mas vc dizia no começo
"queria uma forma segura e confiável de acessar o firewall"
Onde diabos vc acha que :
- Mandar emails para um firewall para liberar acesso é seguro
- Adicionar iptables no SUDOERS é seguro ?????
Rapaz, coisa de loco isso ... segurança -1 :P
A soluçao é bacana para vc aprender a fazer umas coisas bacanas,
mas nunca implementem um trosso desse em ambiente de produção !!
Quer uma forma segura e confiável de acesar o firewall ? Acesse via VPN :) com criptografia.
ehehe
Rapaz, sem querer desmerecer seu artigo mas vc dizia no começo
"queria uma forma segura e confiável de acessar o firewall"
Onde diabos vc acha que :
- Mandar emails para um firewall para liberar acesso é seguro
- Adicionar iptables no SUDOERS é seguro ?????
Rapaz, coisa de loco isso ... segurança -1 :P
A soluçao é bacana para vc aprender a fazer umas coisas bacanas,
mas nunca implementem um trosso desse em ambiente de produção !!
Quer uma forma segura e confiável de acesar o firewall ? Acesse via VPN :) com criptografia.
ehehe
[8] Comentário enviado por volcom em 14/11/2007 - 11:22h
Muiiiiiiiiiiiiiiito Bom!!!
Cara, impressionante heheheh, gostei muito mesmo e vou testar assim que possível :D
Abraço e Parabéns
Muiiiiiiiiiiiiiiito Bom!!!
Cara, impressionante heheheh, gostei muito mesmo e vou testar assim que possível :D
Abraço e Parabéns
[9] Comentário enviado por elgio em 14/11/2007 - 11:27h
y2h4ck: hehehehe
Eu não quiz ser tão direto ao ponto como tu, mas não posso deixar de registrar que fecho contigo no teu comentário!
y2h4ck: hehehehe
Eu não quiz ser tão direto ao ponto como tu, mas não posso deixar de registrar que fecho contigo no teu comentário!
[10] Comentário enviado por kpanic em 14/11/2007 - 14:08h
Saudações...
Agradeço a todos pelos comentários e sugestões.
Algumas reações considero normais para a maioria do administradores que assim como eu acreditam que: "A paranóia é nossa amiga".
Muito mais do que somente uma receita de bolo, a intenção foi passar a idéia de uma máquina linux realizando instruções recebidas por email.
Quanto a aspectos de segurança, é um debate tão amplo que não cabe tratar aqui, já que a proposta do artigo nunca não foi esta, entretanto prefiro crer que todo servidor é seguro, exceto os mal administrados.
Uma resposta genérica seria: Sim, existem muitas formas de melhorar e tornar isso mais seguro.
Cabe a cada um conhecer seu ambiente e decidir a te que ponto isso pode ou não ser implementado.
PS: Quer uma forma de deixar seu firewall seguro? tire os cabos de rede.
(não vale usar tempest) ;)
Abraços
Kernel Panic
Saudações...
Agradeço a todos pelos comentários e sugestões.
Algumas reações considero normais para a maioria do administradores que assim como eu acreditam que: "A paranóia é nossa amiga".
Muito mais do que somente uma receita de bolo, a intenção foi passar a idéia de uma máquina linux realizando instruções recebidas por email.
Quanto a aspectos de segurança, é um debate tão amplo que não cabe tratar aqui, já que a proposta do artigo nunca não foi esta, entretanto prefiro crer que todo servidor é seguro, exceto os mal administrados.
Uma resposta genérica seria: Sim, existem muitas formas de melhorar e tornar isso mais seguro.
Cabe a cada um conhecer seu ambiente e decidir a te que ponto isso pode ou não ser implementado.
PS: Quer uma forma de deixar seu firewall seguro? tire os cabos de rede.
(não vale usar tempest) ;)
Abraços
Kernel Panic
[11] Comentário enviado por y2h4ck em 14/11/2007 - 15:00h
"entretanto prefiro crer que todo servidor é seguro, exceto os mal administrados."
Infelizmente ehueh até o dos bons administradores é inseguro =]
"entretanto prefiro crer que todo servidor é seguro, exceto os mal administrados."
Infelizmente ehueh até o dos bons administradores é inseguro =]
[12] Comentário enviado por eduka em 14/11/2007 - 16:06h
É uma idéia muito boa, mesmo.
Independentemente das questões acima citadas sobre segurança relativas a sudo ou criptografia dos emails, o que vale mesmo é o fato de a porta 22 não ficar disponível o tempo todo, ou seja, a questão é manter segurança por "default"
Creio que o mecanismo proposto é legal, pois é uma forma criativa e controlada de fazer uma abertura (vejam que somente os scripts no servidor é que tem a inteligência de fazer ou não fazer a abertura ).
Kernel Panic: esta idéia de ler email é legal, hein? Já fiz implementações de interpretar emails, mas sempre sendo eu um servidor SMTP (ex. qmail, procmail ), mas sua idéia é que o servidor é client de uma conta externa. Ótimo! parabéns...
É uma idéia muito boa, mesmo.
Independentemente das questões acima citadas sobre segurança relativas a sudo ou criptografia dos emails, o que vale mesmo é o fato de a porta 22 não ficar disponível o tempo todo, ou seja, a questão é manter segurança por "default"
Creio que o mecanismo proposto é legal, pois é uma forma criativa e controlada de fazer uma abertura (vejam que somente os scripts no servidor é que tem a inteligência de fazer ou não fazer a abertura ).
Kernel Panic: esta idéia de ler email é legal, hein? Já fiz implementações de interpretar emails, mas sempre sendo eu um servidor SMTP (ex. qmail, procmail ), mas sua idéia é que o servidor é client de uma conta externa. Ótimo! parabéns...
[13] Comentário enviado por jalexandre em 06/03/2008 - 16:04h
Kernel Panic, a idéia a sem duvida nenhuma bem criativa, ponto para você.
Porém, se você fizer isso em lugares que seguem a BS7799, é bem provavél que tu seja mandado embora.
Uma forma interessante de fazer isso seria uma implementação de VPN + PortKnocking.
Parabéns pela criatividade. Sem dúvida, eu irei utilizar este método para algumas coisas que divertidas, como robozinhos de manutenção. =)
[ ] 's
Kernel Panic, a idéia a sem duvida nenhuma bem criativa, ponto para você.
Porém, se você fizer isso em lugares que seguem a BS7799, é bem provavél que tu seja mandado embora.
Uma forma interessante de fazer isso seria uma implementação de VPN + PortKnocking.
Parabéns pela criatividade. Sem dúvida, eu irei utilizar este método para algumas coisas que divertidas, como robozinhos de manutenção. =)
[ ] 's
[14] Comentário enviado por joaorubens em 01/03/2013 - 13:10h
da uma olhada no meu post e me fala se esqueci alguma coisa.
http://www.vivaolinux.com.br/topico/vivaolinux/Como-enviar-email-via-SSH
da uma olhada no meu post e me fala se esqueci alguma coisa.
http://www.vivaolinux.com.br/topico/vivaolinux/Como-enviar-email-via-SSH
[15] Comentário enviado por GIRLinux em 19/03/2013 - 18:09h
Ola quando tento enviar um email me da o erro
Fatal smtp error 530 5.7.0 must issue a STARTTLS COMMAND FIRST
Conta : hotmail
Porta smtp
smtp_server = 'smtp.live.com'
smtp_port = '587'
Ola quando tento enviar um email me da o erro
Fatal smtp error 530 5.7.0 must issue a STARTTLS COMMAND FIRST
Conta : hotmail
Porta smtp
smtp_server = 'smtp.live.com'
smtp_port = '587'
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Não to conseguindo resolver este problemas ao instalar o playonelinux (1)
Excluir banco de dados no xampp (1)
Top 10 do mês
-
Xerxes
1° lugar - 65.363 pts -
Fábio Berbert de Paula
2° lugar - 50.612 pts -
Buckminster
3° lugar - 17.356 pts -
Mauricio Ferrari
4° lugar - 15.326 pts -
Alberto Federman Neto.
5° lugar - 14.070 pts -
Diego Mendes Rodrigues
6° lugar - 13.388 pts -
Daniel Lara Souza
7° lugar - 12.727 pts -
edps
8° lugar - 10.756 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 10.587 pts -
Andre (pinduvoz)
10° lugar - 10.425 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
