Ssh, sftp e rsync em porta diferente do padrão

Levei mais tempo do que devia para achar essa solução, então vou deixar registrada aqui, pois pode ter mais gente atrás disso. O protocolo ssh é muito popular no mundo Unix. Com ele você pode administrar seu servidor à distância. O tráfego de dados ssh é todo criptografado[bb], e o protocolo é bastante seguro. Mesmo assim, se você tem usuários em sua máquina com senhas fracas, corre o sério risco de sofrer um ataque de dicionário.

Entre as principais recomendações para tornar seu servidor mais seguro estão:

  • Evite senhas fracas: faça com que seus usuários tenham senhas fortes e não óbvias;
  • Não permita o login como root: assim, para fazer alguma coisa realmente perigosa, um invasor teria que descobrir duas senhas ao invés de uma. No Ubuntu, edite o arquivo /etc/ssh/sshd_config e altere a linha PermitRootLogin para:
    PermitRootLogin no
  • Mude a porta do serviço ssh: a porta padrão para o serviço ssh é a 22. Trocá-la vai dar algum trabalho a um possível invasor. Para isso, no Ubuntu[bb], edite o /etc/ssh/sshd_config e altere o número na linha Port para a porta desejada:
    Port 999

Para se conectar ao servidor, use:

ssh -p999 servidor

Como o protocolo ssh é robusto, seguro e flexível, há vários serviços que rodam sobre ele. Entre os mais populares estão o sftp e o rsync. O sftp é um serviço de ftp sobre ssh. A principal vantagem dele em relação ao ftp comum é que o tráfego é criptografado. Já o serviço rsync é genial, serve para manter sincronizadas cópias de arquivos e diretórios em máquinas diferentes.

Para se conectar via sftp com uma porta diferente da 22, use:

sftp -oPort=999 servidor

Para fazer rsync via ssh numa porta diferente da 22, use:

rsync --rsh='ssh -p42' arquivolocal servidor:/caminho/para/o/arquivoremoto

4 comments on “Ssh, sftp e rsync em porta diferente do padrão

  1. Elcio,
    apenas alterar a porta do serviço não aumenta a segurança, nada que um Nmap não resolva. A melhor solução para aumentar a segurança dos serviços de SSH, é utilizar autenticação por chaves. Eu utilizo nos servidores que administro uma chave de 1024bits tornando impossível o acesso sem ela.
    Imagino que existam diversos tutoriais na internet sobre como realizar autenticação por chaves.

    Abraços,
    Jr. Hames

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *