Deseja acessar de forma segura o seu banco de dados e sem precisar abrir porta no firewall? Túnel. Acessar a porta 25 fazendo relay sem mudar as configurações do Postfix? Túnel. Existem inúmeras vantagens do uso de um túnel, inclusive a implantação de uma VPN é feita utilizando-se um túnel. Este artigo destina-se a explicar como usar o recurso de tunelamento existente no próprio SSH.
Túneis é uma coisa muito legal. Legal eu administrador usar. Porém os mais espertos podem enxergar ai um furo de segurança, pois os teus usuários, ao menos os mais espertos, conseguirão acessar qualquer coisa dentro de sua empresa via túnel, bastando ter acesso SSH a um servidor.
Bem, isto pode não ser tão grave, afinal os usuários precisam usar suas próprias senhas para criar o túnel e todas as ações podem ficar registrado em logs. Contudo, caso você queira coibir isto, pode simplesmente desligar o recurso de túneis no ssh server. Para isto basta inserir este item no /etc/ssh/sshd_config:
PermitTunnel no
Assim o ssh não poderá mais ser usado para criar túneis e seus usuários terão que ser um pouco mais espertos. Se sua profissão é sempre estar um passo a frente, seja mais esperto que eles, pois hoje existem túneis até mesmo sobre um simples ICMP (a revista Linux Magazine, edição de Julho, traz um artigo sobre ferramentas que permitem usar túneis sobre um simples ping).
Caso tenhas interesse em saber mais sobre as configurações do SSH, existem muitos artigos aqui mesmo no Viva o Linux que descrevem seja o próprio SSH, seja configurações avançadas. Um artigo meu, recente, intitulado Autenticação por desafio e resposta no SSH, descreveu o método de autenticação por chave pública e privada, sendo que no próprio artigo existem outras referências.
Vitor Micillo publicou um artigo interessante em 2008 ensinando como gerenciar remotamente o Vmware de forma segura. Sua solução, apresentada no artigo Gerenciamento remoto de servidores VMWare via SSH conta justamente com o uso do ssh para acessar o servidor Vmware. Muitas dicas publicadas sobre este assunto, sendo duas delas a Criar um túnel ssh e Túnel SSH.
Caso queiras se aprofundar melhor no assunto VPN, aqui no VOL tem dezenas de artigos sobre isto. Eu particularmente gosto do artigo VPN em Linux com OpenVPN", de Guilherme Rezende. Este artigo me foi muito útil como um guia de acesso rápido para configurar uma vpn que uso com frequência.
Incrivelmente percebi que não tem artigos e tão pouco dicas sobre o stunnel aqui no Viva o Linux.
[6] Comentário enviado por andre.vmatos em 04/08/2009 - 18:23h
Muito bom, novamente, Elgio. Artigo explendido, simplesmente didaticamente perfeito. Continue assim, por favor, nos enriquecendo com seu conhecimento. Só uma dúvida. No título da página 5, vc quis dizer SSH ou SSL mesmo? É pq não encontrei menção ao protocolo SSL na página, e sim ao SSH, motivo do artigo. Abçss
Atenciosamente,
[8] Comentário enviado por rsscwb em 17/09/2009 - 14:13h
Elgio,
Parabéns por seus artigos, são Excelentes!!! Não apenas este, mas todos!
Agora estou utilizando este túnel para acessar o webmin no meu servidor. Eu bloqueei o acesso externo na porta 10000 pelo iptables e, cada vez que eu precisava acessar o webmin, tinha que rodar um script pelo ssh liberando a porta pro meu ip local atual (que é dinâmico).
Agora apenas crio o túnel na minha máquina local e pronto! Nem tenho o trabalho de digitar minha senha, pois configurei a autenticação por desafio e resposta, conforme vc explicou em outro artigo. Simples e fácil!
[9] Comentário enviado por ikichl em 23/09/2009 - 09:23h
Bom dia
estou com um grande problema aqui tenho um sistema em php que faz conexoes
automaticas atravez e chave de seguranca, instalada na maquina remota, porem cada
nova conexao ele pede a confirmacao antes e conectar a primeira vez:
Are you sure you want to continue connecting (yes/no)?
ja tentei diversos meio para auto aceitar a conexao, mas sempre sem sucesso
echo -e "yes" | ssh root@200.175.121.18
[11] Comentário enviado por removido em 04/10/2009 - 23:39h
Buenas tchê.
Estava afastado da TI e do VOL, ao retornar encontro este artigo muito bem escrito, com um assunto palpável e com exemplos que realmente funcionam. Estas de parabéns.
Sei que existem alguns de meus usuários, os mais espertos, tunelando conexões em uma porta bem conhecida que meu firewall necessita deixar passar mas, estou estudando as técnicas disponíveis e em busca de soluções.
[12] Comentário enviado por _m4n14c_2 em 20/10/2011 - 04:06h
Só lembrando, o própro ssh possui uma switch para passar os dados pelo gzip (-C). Como voce propos usar o tar seria mais vantajoso usar algoritmo bzip no lugar do gzip, bastar usar a switch j no lugar do z. Assim ganha-se um pouco de velocidade na transmissão dos dados, já que o bzip é mais eficiente que o gzip:
tar cj dados/ | ssh root@172.20.1.132 "tar xj && echo SUCESSO na cópia. SCP é para os fracos"
[14] Comentário enviado por jwolff em 18/12/2012 - 16:47h
Eu iria criar um Artigo com Script sobre Tunelamento por SSH para burlar firewall e squid. Mas você mostrou todos os pontos fracos neste Post e seria em vão meu Artigo.
O que me resta é lhe dar os Parabéns,você é muito bom!