Medidas Adicionais de Segurança para o Syslog por SSH

1

Atualmente, estou trabalhando na configuração de algumas conexões syslog seguras entre alguns servidores Fedora. Esta é minha configuração atual

192.168.56.110 (syslog-server) <----> 192.168.57.110 (syslog-agent)

Do agente, estou executando este comando:

ssh -fnNTx -L 1514:127.0.0.1:514 [email protected]

Isso funciona muito bem. Eu tenho rsyslog no agente syslog apontando para @@ 127.0.0.1: 1514 e encaminha tudo para o servidor corretamente na porta 514 através do túnel. Meu problema é, eu quero ser capaz de bloquear isso. Eu vou usar chaves ssh então isso é automatizado porque haverá vários agentes falando com o servidor. Aqui estão minhas preocupações.

  1. Alguém entrando no agente syslog e efetuando login diretamente no servidor.
    • Eu cuidei disso, garantindo que o syslog_user tenha um shell de / sbin / nologin, para que o usuário não consiga obter um shell.
  2. Eu não quero que alguém consiga encapsular outra porta por ssh. Ex. - 6666: 127.0.0.1: 21.
    • Eu sei que minha primeira linha de defesa contra isso é simplesmente não ter nada escutando nessas portas e isso não é um problema. No entanto, eu quero ser capaz de bloquear isso de alguma forma.

Existe alguma configuração sshd_config no servidor que eu possa usar para fazer com que apenas a porta 514 possa ser tunelada por ssh? Existe alguma outra grande preocupação de segurança que estou negligenciando neste momento? Agradecemos antecipadamente por sua ajuda / comentários.

    
por Eric 04.04.2012 / 18:16

1 resposta

1

Existe uma opção sshd permitopen:

permitopen="host:port" Limit local ''ssh -L'' port forwarding such that it may only connect to the specified host and port. IPv6 addresses can be specified with an alternative syntax: host/port. Multiple permitopen options may be applied separated by commas. No pattern matching is performed on the speci‐ fied hostnames, they must be literal domains or addresses.

    
por 04.04.2012 / 19:14