PSeg07 - Norma de Uso de Serviços SSH
Introdução
Para a segurança da USPnet é fundamental que as conexões sejam feitas através de ferramentas seguras, como é o caso do SSH (Secure SHell).
O SSH realiza um serviço similar ao "TELNET", tratado no documento PSeg-08, porém de maneira criptografada, permitindo que o usuário ou administrador estabeleçam acesso a computadores remotos para realizar tarefas de maneira seguras.
1. Objetivos
Esta norma tem por objetivos:
- Fornecer os termos para o uso da ferramenta SSH;
- Estabelecer as responsabilidades dos administradores e usuários referentes ao uso do serviço.
2. Abrangência
Esta norma tem abrangência de toda a Universidade, sendo mandatória para os Centros de Informática e referência para as outras Unidades.
3. Considerações sobre o SSH
O SSH estabelece conexões seguras na rede. Por este motivo, deve-se sempre dar preferência ao seu uso em substituição aos tradicionais serviços TELNET e FTP.
Os seguintes programas podem ser utilizados de forma segura::
- ssh ou slogin - semelhante ao TELNET, é usado para abrir sessão em computador remoto e executar comandos dentro do mesmo;
- scp - utilitário para cópia remota de arquivos, do servidor para o cliente e vice-versa;
- sftp - realiza as mesmas tarefas que o FTP, com a diferença de ser criptografado.
4. Regras e Diretrizes para o Usuário.
As regras que devem ser seguidas pelo usuário são semelhantes às regras para uso do serviço TELNET:
- Não divulgar nem emprestar sua senha, pois o código de usuário a qualquer recurso da USPnet é pessoal e intransferível;
- A senha deve ser de difícil decodificação;
- Jamais executar comandos que comprometam a segurança do sistema;
- Não abandonar sessões abertas;
- Não fazer uso de programas que causem falhas no sistema operacional ou degradem sua performance;
- Não tentar violar a segurança dos computadores ligados à rede (dentro e fora da USP);
- Não tentar acesso não autorizado a computadores ou redes;
- Não tentar violar arquivos pertencentes a outros usuários;
- Recomenda-se que o usuário final não disponibilize serviço SSH em seus computadores pessoais, do contrário, fica ciente que deverá cumprir as regras impostas aos administradores de sistemas.
5. Regras e Diretrizes para o Administrador
Cabe ao administrador do serviço atentar para as seguintes regras:
- Estimular os usuários a utilizarem o serviço SSH ao invés do TELNET, sempre que possível;
- Gerar as chaves dos usuários;
- Administrar o servidor SSH de modo a bloquear acessos a usuários e a grupos de usuários não autorizados;
- Não permitir a criação de arquivos ou habilitar comandos que possibilitem a execução remota de programas;
- Não permitir conexões remotas de usuários com permissões totais (root, supervisor ou administrador);
- Não conceder acesso através de contas públicas (guest) ou sem senha;
- Utilizar regularmente ferramentas que possibilitem a detecção de senhas inseguras;
- Monitorar os logs de acesso periodicamente verificando quais usuários estão acessando o servidor e, se porventura, estão executando comandos que normalmente não deveriam usar;
- Monitorar regularmente o sistema procurando arquivos que não possuem dono ou que não pertençam a nenhum grupo, que tenham permissão de escrita, alterando para somente leitura os que forem estranhos ou suspeitos;
- Manter os arquivos das áreas do administrador ou sistema invisíveis ou somente de leitura;
- Manter os programas do servidor de serviços SSH sempre atualizados e ficar atento a falhas notificadas;
- Bloquear os serviços: netstat (tcp/15 - mostra informações sobre a conexão atual como endereços, dns, portas, etc), systat (tcp/11 - mostra os processos que estão sendo executados no servidor), finger (tcp/79 - apresenta informações completas de usuários como shells, diretórios, logins, etc);
- Consultar o Centro de Informática local em casos de dúvidas.