• Você necessita de acessar remotamente ativos dentro da empresa em que trabalha?
• Costuma deixar seus ativos acessíveis publicamente só para conectar de qualquer lugar?
• Você restringe esse acesso por pessoas e/ou grupos?
• Quando alguém com privilégios é demitido. Você tem que ir em diversos sistemas e equipamentos rapidamente, para remover os acessos?
• Você sente falta de um local centralizado e único, que contenha a definição de seus sistemas para trabalhar remotamente?

Se a resposta para essas perguntas foi um “SIM”, então esse artigo pode lhe ajudar a melhorar a forma como você acessa determinados ativos em sua rede.

Primeiramente vamos a um conceito que muitos acham que VPN (Virtual Private Network) é a forma mais segura de acessar uma Intranet e assim prestar suporte remotamente de qualquer lugar. Bem, não queria destruir seu conceito mas; a VPN sem determinados cuidados com o seu sistema pessoal, de nada vai te proteger de um incidente que possa parar sua empresa. Imagine uma situação em que você esteja conectado remotamente via VPN corporativa, acessando um compartilhamento de arquivos da empresa e em algum momento durante o trabalho você adquiriu um bem sucedido ransomware. Esse malware causará grande prejuízo para a empresa e para a sua reputação, mesmo estando usando a tal VPN.

Outros preferem usar recursos como os Jump Servers. Equipamentos com sistemas, por exemplo Windows, rodando serviços como RDP (Remote Desktop Protocol), ou Anydesk, ou Teamviewer, ou qualquer outro equivalente para permitir o acesso local e a partir dele conectar em outros sistemas dentro da empresa. Nada contra o sistema da Microsoft ou qualquer produto citado mas não me sinto confortável em deixá-los públicos na Internet. Lembrando que não existem sistemas 100% seguros. Em algum momento falhas podem surgir e alguém pode explorá-las. Pense em uma vulnerabilidade Zero Day.

Então o que venho sugerir nesse artigo é que juntem as duas soluções VPN e Jump Server mas de uma maneira, que na minha opinião, seria mais segura que ambas as soluções acima, construídas isoladamente.

Continuem usando a VPN mas também pensando na segurança dos sistemas pessoais de quem utiliza a VPN, para trabalhar remotamente. Não usem VPN PPTP em suas soluções corporativas, é insegura, obsoleta e não funciona bem com CGNAT, em sistemas que não possuem suporte ao ALG (Application Layer Gateway) PPTP.

Ao invés de deixarem públicos seus Jump Servers, mantenha-os com IPs privados RFC1918 e acessíveis somente através da VPN. Assim chegaremos a dois níveis de autenticação pelo menos. Crie um ou mais servidores Jump e crie ACLs nos equipamentos e sistemas que só permitam acesso dos IPs privados dos Jump Servers.

Dessa forma vai conseguir resolver boa parte daquelas perguntas que fiz, mas ainda não é o objetivo principal deste artigo. Esse artigo vai focar na ferramenta Apache Guacamole que é uma aplicação para construirmos um Jump Server mais inteligente e seguro.

Mas o que seria o Apache Guacamole? Ele é um clientless remote desktop gateway, ou seja, você não precisa de um programa cliente instalado no seu desktop de trabalho ou pessoal, para acessar sistemas que usem os protocolos: RDP, VNC e SSH. Isso é feito através de um browser apenas e usando HTML5.

O Guacamole é uma aplicação Java que roda embaixo do Apache Tomcat. É dividido em duas partes, o server e os clients que fazem a conexão propriamente dita usando RDP, VNC ou SSH, de acordo com o tipo de acesso. Possui suporte a diversas bases de dados como MySQL, MariaDB, PostgreSQL e também LDAP.

Sua arquitetura funciona assim:

Requisitos para o nosso artigo

Debian 11 (Bullseye) 64 bits. Instalação mínima. Sistema deve restringir o acesso apenas via VPN e/ou Rede de Gerência da empresa (utilize regras de firewall iptables ou nftables para essa tarefa).
– VM com 2 cores ou mais. Dependerá da quantidade de acessos simultâneos.
– 2Gb de ram. Sugiro 4Gb.
– 10G de disco. Dependerá do crescimento da base de dados, se for local.
– Interface de rede com IP privado e liberado para acesso aos sistemas remotos.

:: Instalação do MariaDB 10.5 ::

# apt install mariadb-server mariadb-client 

Por padrão o pacote MariaDB no Debian usa unix_socket para autenticar o login do usuário, o que basicamente significa que você pode usar o nome de usuário e a senha do sistema operacional para efetuar login no console do MariaDB.
Assim, você pode logar diretamente sem fornecer a senha root do MariaDB, para aumentar a seguraça vamos definir uma senha para o usuário root do MariaDB, não esqueça de alterar ALTERE_3ST4_SENHA pela sua senha.

# mariadb -u root

USE mysql;
ALTER USER 'root'@'localhost' IDENTIFIED BY 'ALTERE_3ST4_SENHA';

Ainda logado no MariaDB vamos criar nossa base de dados para o Guacamole, não esqueça de alterar S3NHA_GUACAMOL3_US3R por sua senha.

CREATE DATABASE guacamole;
CREATE USER 'guacamole'@'localhost' IDENTIFIED BY 'S3NHA_GUACAMOL3_US3R';
GRANT ALL PRIVILEGES ON guacamole.* TO 'guacamole'@'localhost';
FLUSH PRIVILEGES;
EXIT;

Apague seus rastros, em /root/.mysql_history temos um histórico com todos os comandos dado no terminal do MariaDB, então não é legal deixar lá em texto puro a senha que setamos!

# > /root/.mysql_history

:: Instalação Java JDK ::

# apt install openjdk-11-jdk libmariadb-java

Precisaremos configurar a variável de ambiente JAVA_HOME. No final do arquivo /etc/environment adicione o seguinte parâmetro JAVA_HOME=”/usr/lib/jvm/java-11-openjdk-amd64″

echo 'JAVA_HOME="/usr/lib/jvm/java-11-openjdk-amd64"' >>  /etc/environment

Em seguida carregamos o /etc/environment:

# source /etc/environment

:: Instalação Tomcat::

# apt install tomcat9 tomcat9-admin tomcat9-docs tomcat9-examples tomcat9-user

Feito isso vamos criar um usuário de acesso ao Tomcat Web Application Manager. Vamos editar o arquivo /etc/tomcat9/tomcat-users.xml e no final antes de adicionar adicionar as 2 linhas, não esqueça de alterar S3NHA_FORT3:

# vim /etc/tomcat9/tomcat-users.xml

  <role rolename="manager-gui"/>
  <user username="admin" password="S3NHA_FORT3" roles="manager-gui"/>

Arquivo /etc/tomcat9/tomcat-users.xml sem os comentários ficará:

<?xml version="1.0" encoding="UTF-8"?>
<tomcat-users xmlns="http://tomcat.apache.org/xml"
              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
              xsi:schemaLocation="http://tomcat.apache.org/xml tomcat-users.xsd"
              version="1.0">

  <role rolename="manager-gui"/>
  <user username="admin" password="S3NHA_FORT3" roles="manager-gui"/>
</tomcat-users>

:: Instalação Guacamole::

# apt install guacd

Os pacotes não criam os diretórios de configuração do Guacamole, então faremos conforme abaixo. Neles ficarão as extensions e o connector e que juntos integrarão o Java às bases de dados para funcionar a nossa autenticação e administração do Jump Server.

/etc/guacamole/
├── extensions
└── lib

# mkdir -p /etc/guacamole/lib /etc/guacamole/extensions

Crie um link simbólico do connector java do MariaDB no Guacamole:

# ln -s /usr/share/java/mariadb-java-client.jar /etc/guacamole/lib/

Vamos baixar e descompactar o pacote de extensão, para criação das tabelas e autenticação na base de dados. Detalhe que a versão tem que ser a mesma do pacote guacd que instalamos acima. Nesse caso é a versão 1.3.0 que vem no repositório do Debian 11.

# apt install wget
# cd /tmp
# wget -c https://archive.apache.org/dist/guacamole/1.3.0/binary/guacamole-auth-jdbc-1.3.0.tar.gz
# tar -xzvf guacamole-auth-jdbc-1.3.0.tar.gz

Mova a extensão de autenticação via MySQL, para o lugar correto:

# mv /tmp/guacamole-auth-jdbc-1.3.0/mysql/guacamole-auth-jdbc-mysql-1.3.0.jar /etc/guacamole/extensions/

Populando a base de dados guacamole com as tabelas e algumas informações iniciais:

# cat /tmp/guacamole-auth-jdbc-1.3.0/mysql/schema/*.sql | mysql -u root -p guacamole

Informe a senha do usuário MariaDB root no nosso ex.: “ALTERE_3ST4_SENHA”

Se desejar certificar que as tabelas foram criadas acesse o terminal do MariaDB com o usuário e senha do guacamole

# mariadb -u guacamole -p

Enter password: S3NHA_GUACAMOL3_US3R
Use o comando show tables; para ver as tabelas.

Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 9
Server version: 10.5.12-MariaDB-0+deb11u1 Debian 11

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB [guacamole]> show tables; 
+---------------------------------------+
| Tables_in_guacamole                   |
+---------------------------------------+
| guacamole_connection                  |
| guacamole_connection_attribute        |
| guacamole_connection_group            |
| guacamole_connection_group_attribute  |
| guacamole_connection_group_permission |
| guacamole_connection_history          |
| guacamole_connection_parameter        |
| guacamole_connection_permission       |
| guacamole_entity                      |
| guacamole_sharing_profile             |
| guacamole_sharing_profile_attribute   |
| guacamole_sharing_profile_parameter   |
| guacamole_sharing_profile_permission  |
| guacamole_system_permission           |
| guacamole_user                        |
| guacamole_user_attribute              |
| guacamole_user_group                  |
| guacamole_user_group_attribute        |
| guacamole_user_group_member           |
| guacamole_user_group_permission       |
| guacamole_user_history                |
| guacamole_user_password_history       |
| guacamole_user_permission             |
+---------------------------------------+
23 rows in set (0.000 sec)

MariaDB [guacamole]> exit;
Bye

Criando o arquivo /etc/guacamole/guacamole.properties com as configurações de porta de acesso e os dados de conexão ao MariaDB.

# vim /etc/guacamole/guacamole.properties

Não esqueça de alterar S3NHA_GUACAMOL3_US3R

# Hostname and port of guacamole proxy
guacd-hostname: localhost
guacd-port:    4822

# MySQL properties
mysql-driver: mariadb
mysql-hostname: localhost
mysql-port: 3306
mysql-database: guacamole
mysql-username: guacamole
mysql-password: S3NHA_GUACAMOL3_US3R

OBS: Embora MariaDB e MySQL tenham algumas coisas em comum (MariaDB é um fork do Mysql), mas nesse caso eles são diferentes aqui. Em muitos artigos espalhados pela Internet se fala no pacote libmysql-java mas este não existe mais no Debian 11. No lugar dele usamos o libmariadb-java.

Baixando e habilitando o Guacamole Web Application

# ln -s /etc/guacamole/ /var/lib/tomcat9/.quacamole
# wget https://downloads.apache.org/guacamole/1.3.0/binary/guacamole-1.3.0.war -O /var/lib/tomcat9/webapps/guacamole.war
# systemctl restart tomcat9 guacd

Se parássemos por aqui, já teríamos o Guacamole rodando e funcional em HTTP, mas vamos adicionar uma camada de criptografia nisso. Vamos habilitar o SSL no Apache Tomcat:

Vamos criar uma chave e uma senha com o próximo comando. Só seguir as instruções e preencher as perguntas:

# keytool -genkey -alias tomcat -keyalg RSA

Informe a senha da área de armazenamento de chaves:  S3NHA_USADA_K3YTOOL
Informe novamente a nova senha: S3NHA_USADA_K3YTOOL
Qual é o seu nome e o seu sobrenome?
  [Unknown]:  Marcelo Gondim
Qual é o nome da sua unidade organizacional?
  [Unknown]:  AMA
Qual é o nome da sua empresa?
  [Unknown]:  LinuxInfo
Qual é o nome da sua Cidade ou Localidade?
  [Unknown]:  Araruama
Qual é o nome do seu Estado ou Município?
  [Unknown]:  RJ
Quais são as duas letras do código do país desta unidade?
  [Unknown]:  BR
CN=Marcelo Gondim, OU=AMA, O=LinuxInfo, L=Araruama, ST=RJ, C=BR Está correto?
  [não]:  sim

Concluído precisaremos movê-la para o local certo e com as devidas permissões:

# mv /root/.keystore /var/lib/tomcat9/
# chown tomcat. /var/lib/tomcat9/.keystore
# chmod 640 /var/lib/tomcat9/.keystore

Em /etc/tomcat9/server.xml:

# vim /etc/tomcat9/server.xml

Troque isso:

    <Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443" />

Por: (Não esqueça de alterar S3NHA_USADA_K3YTOOL)

    <Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443"
               maxThreads="200"
               scheme="https"
               secure="true"
               SSLEnabled="true"
               keystoreFile="/var/lib/tomcat9/.keystore"
               keystorePass="S3NHA_USADA_K3YTOOL"
               clientAuth="false"
               sslProtocol="TLS" />

# systemctl restart tomcat9 guacd

Para acessarmos nosso Jump Server:
https://[servidor]:8080/guacamole/

O usuário e senha são guacadmin. Crie um novo usuário com permissões de administrador e em seguida remova este usuário padrão.

Autor: Marcelo Gondim
Brasil Peering Fórum: https://wiki.brasilpeeringforum.org/w/Usuário:Gondim
Linkedin: https://www.linkedin.com/in/marcelo-gondim-sysadmin/
Telegram: @Marcelo_Gondim

Dicas extra do Remontti

Para complementar, tem algumas coisas que eu acho que podem serem aplicadas ao nosso Guacamole apresentado pelo nosso parceiro Marcelo Gondim

– Nginx fazendo Proxy reverso para acessar a aplicação com um subdomínio.
– Utilização do Let’s Encrypt para um certificado válido.
– Port knocking com Nftables, para não deixar totalmente exposto.

Proxy Nginx

Como a aplicação será acessada apenas pelo Nginx podemos deixar o tomcat9 ouvindo apenas em localhost, se você segui o procedimento anterio qual criou o certificado privado agora ele não é mais necessarios vamos desfazer para o que era antes porem vamos colocar o connector ouvindo apenas 127.0.0.1.

# vim /etc/tomcat9/server.xml

Altere para:

    <Connector address="127.0.0.1" port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443" />

Reinicie o tomcat para que o mesmo rode apenas em localhost, assim não será mais possivel acesso pelo seu IP:8080

# systemctl restart tomcat9

Instalaremos o nginx e vamos remover a assinatura do nginx onde ele exibe a versão do mesmo.

# apt install nginx
# sed -i 's/# server_tokens/server_tokens/' /etc/nginx/nginx.conf
# systemctl restart nginx

Irei alterar direto no arquivo default do nginx as configurações, se achar melhor você pode criar um novo arquivo.

# mv /etc/nginx/sites-available/default /etc/nginx/sites-available/default.original
# vim /etc/nginx/sites-available/default

Adcione: (Altere server_name para seu subdomínio)

server {
    listen 80;
    listen [::]:80;
 
    server_name guacamole.remontti.com.br;

    location / {
        proxy_pass http://127.0.0.1:8080/guacamole/;
        proxy_buffering off;
        proxy_http_version 1.1;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $http_connection;
        proxy_cookie_path /guacamole/ /;
    }
}

# nginx -t
# systemctl restart nginx

Let’s Encrypt

# apt install certbot python3-certbot-nginx

Para gerar o certificado use o comando:

# certbot

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Enter email address (used for urgent renewal and security notices)
 (Enter 'c' to cancel): noc@remontti.com.br

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server. Do you agree?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: y

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing, once your first certificate is successfully issued, to
share your email address with the Electronic Frontier Foundation, a founding
partner of the Let's Encrypt project and the non-profit organization that
develops Certbot? We'd like to send you email about our work encrypting the web,
EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: n
Account registered.

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: guacamole.remontti.com.br
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 1
Requesting a certificate for guacamole.remontti.com.br
Performing the following challenges:
http-01 challenge for guacamole.remontti.com.br
Waiting for verification...
Cleaning up challenges
Deploying Certificate to VirtualHost /etc/nginx/sites-enabled/default
Redirecting all traffic on port 80 to ssl in /etc/nginx/sites-enabled/default

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations! You have successfully enabled
https://guacamole.remontti.com.br
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/guacamole.remontti.com.br/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/guacamole.remontti.com.br/privkey.pem
   Your certificate will expire on 2022-04-17. To obtain a new or
   tweaked version of this certificate in the future, simply run
   certbot again with the "certonly" option. To non-interactively
   renew *all* of your certificates, run "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Não esqueça de colocar no seu cron para ele renovar o certificado, pois a cada 90 ele expira. Neste exemplo todo dia primeiro tento renovar.

# certbot -q renew

Exemplo:

# echo '00 00   1 * *   root    certbot -q renew' >> /etc/crontab
# systemctl restart cron

Port knocking

Nftables já vem por padrão no Debian 11 então basta habilitá-lo. Temos um tutorial do se Port knocking

# systemctl enable nftables

O arquivo de configuração padrão do nftables fica em /etc/nftables.conf, então vamos edita-lo:

# vim /etc/nftables.conf

Neste exemplo vou estar liberando as portas 80 e 443 após “batermos” nas portas 52341, 28001, 60541, 30951, e por 2h (7200s) após bater nas portas teremos acesso as mesmas, caso fique mais que tempo definido será necessário bater novamente.

#!/usr/sbin/nft -f

flush ruleset

table inet filter {
    chain input {
        type filter hook input priority 0;
    }
    chain forward {
        type filter hook forward priority 0;
    }
    chain output {
        type filter hook output priority 0;
    }
}

define protege_portas = {80,443}

table inet portknock {
   set clientes_ipv4 {
      type ipv4_addr
      flags timeout
   }

   set clientes_ipv6 {
      type ipv6_addr
      flags timeout
   }

   set toctoc_aberta_ipv4 {
      type ipv4_addr . inet_service
      flags timeout
   }

   set toctoc_aberta_ipv6 {
      type ipv6_addr . inet_service
      flags timeout
   }

   chain input {
      type filter hook input priority -10; policy accept;

      iifname "lo" return

      tcp dport 52341 add @toctoc_aberta_ipv4 {ip  saddr . 28001 timeout 60s}
      tcp dport 52341 add @toctoc_aberta_ipv6 {ip6 saddr . 28001 timeout 60s}
      tcp dport 28001 ip  saddr . tcp dport @toctoc_aberta_ipv4 add @toctoc_aberta_ipv4 {ip  saddr . 60541 timeout 60s}
      tcp dport 28001 ip6 saddr . tcp dport @toctoc_aberta_ipv6 add @toctoc_aberta_ipv6 {ip6 saddr . 60541 timeout 60s}
      tcp dport 60541 ip  saddr . tcp dport @toctoc_aberta_ipv4 add @toctoc_aberta_ipv4 {ip  saddr . 30951 timeout 60s}
      tcp dport 60541 ip6 saddr . tcp dport @toctoc_aberta_ipv6 add @toctoc_aberta_ipv6 {ip6 saddr . 30951 timeout 60s}
      tcp dport 30951 ip  saddr . tcp dport @toctoc_aberta_ipv4 add @clientes_ipv4 {ip  saddr timeout 7200s} log prefix "Portknock bem-sucedido: "
      tcp dport 30951 ip6 saddr . tcp dport @toctoc_aberta_ipv6 add @clientes_ipv6 {ip6 saddr timeout 7200s} log prefix "Portknock bem-sucedido: "

      tcp dport { $protege_portas } ip  saddr @clientes_ipv4 counter accept
      tcp dport { $protege_portas } ip6 saddr @clientes_ipv6 counter accept
      tcp dport { $protege_portas } ct state established,related counter accept
      tcp dport { $protege_portas } counter reject with tcp reset
   }
}

Reinicie o nftables

# systemctl restart nftables

Neste tutorial de Port knocking tenho um modelinho web qual você pode usar, existe alguns clientes para celular Android, iPhone e Windows.

Agora deixamos mais seguro nosso servidor.

Exemplo de como adicionar um Windows Server ao seu guacamole

No canto superior direito, clique no nome de usuário e em seguida Settings.

Click em Connections em seguida New Connection

EDIT CONNECTION
Name: Insira um nome de identificação para a conexão
Location: Use o ROOT padrão se não houver requisitos específicos
Protocol: RDP

PARAMETERS
Network
Hostname: IP o Domínio do seu Servidor
Port: Podemos deixá-lo vazio se usar a porta padrão 3389, ou informe a porta alterada do RDP
Authentication
Username: Usuário
Password: Senha
Domain: Deixe em branco ou use o nome de domínio local do dispositivo Windows
Ignore server certificate: Marque esta opção se o certificado for autoassinado

Role para baixo até o final da página e clique no botão Save.

A interface é bem intuitiva, acredito que não terá dificuldades, você pode criar grupos e usuarios e restrigir o acesso apenas a alguns servidores.

Espero que tenha gostado! E mais uma vez deixo meu agradecimento ao parceio Marcelo Gondim. Para trocar uma ideia chega lá no telegram @remontticombr

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Referências:
– https://wiki.debian.org/Guacamole
– https://computingforgeeks.com/install-and-use-guacamole-remote-desktop-on-debian/
– https://wiki.brasilpeeringforum.org/w/Configurando_um_gateway_de_acesso_remoto_com_Guacamole
– https://receitasdecodigo.com.br/web/configurando-ssl-no-tomcat-8

O post Aprenda a instalar um Jump Server com Apache Guacamole um gateway de desktop remoto Web apareceu primeiro em Remontti.

Criando Bot no telegram

Abra o Telegram e procure por @BotFather.
Inicie a conversa com ele.

– Digite o comando /newbot para iniciar a criação de um novo bot.
– Após o comando você vai dar um nome para seu bot. Ex.: “Bot Legal RR”.
– Em seguida é necessário digitar o nome de usuário para o bot, sendo obrigatório terminar com bot. Ex.: “legallrr_bot”.
– Ao finalizar você receber informações com seu TOKEN, que vamos utilizar em seguida.

Neste exemplo nosso token para acessar a API HTTP ficou:
757396508:AAHpaoyVN-95maOCax1vDPDQBnSaZd9P5r0

Procure pelo seu bot e comece uma conversa com ele e envie uma mensagem de teste para o mesmo, pois vamos precisar descobrir o ID do seu usuário, para que ele possa lhe enviar as mensagens.

Abra em seu seu navegador a seguinte URL https://api.telegram.org/botTOKEN/getUpdates para descobrir o ID do usuário que enviou a mensagem ou de um grupo.
Ex.: https://api.telegram.org/bot757396508:AAHpaoyVN-95maOCax1vDPDQBnSaZd9P5r0/getUpdates

:: Chat privado ::

{"ok":true,"result":[{
	"update_id":649208620,"message":{
		"message_id":2,"from":{"id":221122111,"is_bot":false,"first_name":"Rudimar","last_name":"Remontti","username":"remontti","language_code":"pt-br"},
		"chat":{"id":999999999,"first_name":"Rudimar","last_name":"Remontti","username":"remontti","type":"private"},
		"date":1541210279,"text":"Testando"
	}
}]}

ID do chat privado: 999999999

Se desejar criar um grupo também, basta adicionar seu bot a ele, após adiciona-lo envia uma mensagem como /teste para que possamos coletar o ID do grupo.

:: Chat em Grupo ::

{"ok":true,"result":[{
	"update_id":649208622,"message":{"message_id":4,"from":{
		"id":221122111,"is_bot":false,"first_name":"Rudimar","last_name":"Remontti","username":"remontti","language_code":"pt-br"},
		"chat":{"id":-1000000000000,"title":"Grupo Legal","type":"group","all_members_are_administrators":true
	},"date":1541210975,"text":"/teste","entities":[{"offset":0,"length":6,"type":"bot_command"}
}]}

ID do chat grupo: -1000000000000

Agora que já temos o Token e o ID do chat/grupo vamos ao script de backup. Se ainda estiver com dificuldade no vídeo onde ensino integrar com o zabbix aos 52 min explico como criar o bot.

Não esqueça q para o bot enviar algo para você é necessários iniciar uma conversa com o mesmo.
Antes faça um teste abrindo no seu navegador https://api.telegram.org/botTOKEN/sendMessage?chat_id=ID&text=Mensagem ou diretamente pelo terminal com curl.

# apt install curl 

Ex.: Enviando mensagem para um usuário

# curl --silent -X POST \
 --data-urlencode "chat_id=8888888" \
 --data-urlencode "text=Enviando para usuário" \
 "https://api.telegram.org/bot757396508:AAHpaoyVN-95maOCax1vDPDQBnSaZd9P5r0/sendMessage"

Ex.: Enviando mensagem para um grupo (Não torne o grupo público para sua segurança)

# curl --silent -X POST \
 --data-urlencode "chat_id=-1000000000000" \
 --data-urlencode "text=Enviando para o Grupo" \
 "https://api.telegram.org/bot757396508:AAHpaoyVN-95maOCax1vDPDQBnSaZd9P5r0/sendMessage"

Se as mensagens chegaram estamos preparados para fazer nossos backups com o telegram.

Scripts

Pacotes requeridos:

# apt install curl wget zip unzip

Para ficar algo organizado vou criar uma pasta onde colocarei todos os scripts

# mkdir /etc/backups/

Como normalmente eu uso o telegram mesmo que seja apenas para notificar que um backup foi feto, vou criar uma pasta chamada para fazer toda a configuração do bot nela, criei um novo script com base no código que utilizei no tutorial do Fastnetmon, assim toda vez que for chamar telegram para enviar mensagem ou arquivo basta executa-lo sem sofrimero e varias linhas. Bora prepara-ló!

Preparando o script do telegram (bot)

# wget https://raw.githubusercontent.com/remontti/telegramBotShell/master/telegram -O /bin/telegram
# chmod +x /bin/telegram

Alterando o TOKEN:

# vim /bin/telegram

Altere o TOKEN e o formato da compactação (zip ou tar)
Altere o token:

TOKEN="000000000:0000000000000-0000000000000000000000000000000"

Escolha o metodo de compactação tar/zip

COMPAC='tar'

Como usar?

-m: Para enviar uma mensagem

# telegram -m "-ID Chat" "Mensagem linha 1" "Mensagem linha 2" "Mensagem linha 3"
# telegram -m "ID Usuário" "Mensagem linha 1" "Mensagem linha 2" "Mensagem linha 3"

-f: Para enviar um arquivo

# telegram -f "-100000000" "/diretorio/arquivo" "nome do arquivo compactado" "Comentário"
# telegram -f "12345689" "/var/log/syslog" "syslog" "Logs do sistema"

Faça seu testes! Vale lembrar que toda vez que o script do telegram envia um arquivo ele irá compactar e remover este arquivo do servidor após envio.

Preparando o script para envido do backup via SSH

# apt install sshpass
# wget https://raw.githubusercontent.com/remontti/backupSSH/master/backup -O /bin/backup
# chmod +x /bin/backup

Como usar?
Ex.:

# backup "nome para o arquivo" "diretório ou diretórios a salvar"  "usuário ssh" "senha ssh" "IP Serv" "Porta ssh" "diretorio de destino"
# backup "etc" "/etc/*"  "jose" "123456" "192.168.0.200" "22" "/home/jose/backup"

Backups Telegram

Backup de um diretório

Vamos imaginar que gostaríamos de salvar o diretório /etc/frr/*

# vim /etc/backups/backup_frr_telegram.sh

Adicionaremos apenas o ID usuário ou grupo (lembre-se que grupo sempre tem um “-” antes do ID) ex:

#!/bin/bash
/bin/telegram -f "200000000" "/etc/frr/*" "frr" "Backup FRR"

De permissão para execução:

# chmod +x /etc/backups/backup_frr_telegram.sh

Basta rodar agora o script

# /etc/backups/backup_frr_telegram.sh

Já já vamos ver como adiciona-lo no CRON (Agenda) para tornar isso automático.

Backup de múltiplos diretórios

Vamos imaginar que gostaríamos de salvar todos os diretórios do bind9, para isso basta adicionar todos os diretórios/arquivos entre aspas “/etc/bind/* /usr/share/dns/* /var/cache/bind/*”

# vim /etc/backups/backup_bind_telegram.sh

Altere o ID usuário/grupo (lembre-se que grupo sempre tem um “-” antes do ID) ex:

#!/bin/bash
/bin/telegram -f "200000000" "/etc/bind/* /usr/share/dns/* /var/cache/bind/*" "ns1" "Backup Bind"

De permissão para execução:

# chmod +x /etc/backups/backup_bind_telegram.sh

Basta rodar agora o script

# /etc/backups/backup_bind_telegram.sh

Backup de um banco de dados Mysql/MariaDB

Neste exemplo vamos fazer backup do banco de dados “radius”. Altere as variáveis informando usuário/senha do seu banco de dados bem como nome do banco e ID do telegram.

#!/bin/bash
# Autor: remontti.com.br
# --------------------------------------
# USUARIO  DO BANCO DE DADOS
USER_DB='root'
# SENHA DO BANCO DE DADOS
SENHA_DB='senha'
# NOME DO BANCO DE DADOS
NOME_BANCO='radius'
# NOME PARA O BACKUP
NOME_DO_BKP='Freeradius'
# ID TELEGRAM
ID_TELEGRAM='-123456789000'
# --------------------------------------
DATABKP=`date +%Y-%m-%d`
NOME_BD="/tmp/${NOME_BANCO}.${DATABKP}.tar.gz"
mysqldump -h 127.0.0.1 -u ${USER_DB} -p${SENHA_DB} -B ${NOME_BANCO} > /tmp/${NOME_BANCO}.${DATABKP}.sql 
/bin/telegram -f "${ID_TELEGRAM}" "/tmp/${NOME_BANCO}.${DATABKP}.sql" "${NOME_DO_BKP}" "${NOME_BANCO}" &>/dev/null
rm -f /tmp/*.sql &>/dev/null

Backup de “todos” os banco de dados Mysql/MariaDB

Neste exemplo vamos fazer backup de “todos” os bancos de dados do servidor.
Perceba que o comando:

# ls -d /var/lib/mysql/*/ |cut -d / -f 5

Listará todas as bases, porém o com “grep -v” ignoro alguns bancos que não acho necessário.

# ls -d /var/lib/mysql/*/ |cut -d / -f 5 |grep -v mysql |grep -v performance_schema

Altere as variáveis informando usuário/senha do seu banco de dados bem como ID do telegram.

#!/bin/bash
# Autor: remontti.com.br
# --------------------------------------
# USUARIO  DO BANCO DE DADOS
USER_DB='root'
# SENHA DO BANCO DE DADOS
SENHA_DB='senha'
# NOME PARA O BACKUP
NOME_DO_BKP='ServidorWeb'
# ID TELEGRAM
ID_TELEGRAM='-123456789000'
# --------------------------------------

for BANCO in `ls -d /var/lib/mysql/*/ |cut -d / -f 5 |grep -v mysql |grep -v performance_schema`
do
    DATABKP=`date +%Y-%m-%d`
    NOME_BD="/tmp/${BANCO}.${DATABKP}.tar.gz"
    mysqldump -h 127.0.0.1 -u ${USER_DB} -p${SENHA_DB} -B ${BANCO} > /tmp/${BANCO}.${DATABKP}.sql 
done;
/bin/telegram -f "${ID_TELEGRAM}" "/tmp/*.sql" "${NOME_DO_BKP}" "Backup BDs" 
rm -f /tmp/*.sql &>/dev/null

Backup do Zabbix-Server (Apenas do que interessa)

Para o backup do zabbix utilizo um script do maxhq que faz um dump apenas da parte da base que nos interessa, isso significa que você não terá salvo o historio das “coisa”! Porém realizei um fork do projeto qual fiz alguns ajustes para dar suporte ao zabbix 5.
Vamos baixa-lo em nosso diretório:

# cd /etc/backups/ 
# wget https://raw.githubusercontent.com/remontti/zabbix-backup/master/zabbix-dump
# chmod +x /etc/backups/zabbix-dump

Crie seu script

# vim /etc/backups/backup_zbx.sh

#!/bin/bash
# ----Config ----
ID_TELEGRAM='-123456789000'
# ---------------
/etc/backups/zabbix-dump -o /tmp &>/dev/null
/bin/telegram -f "${ID_TELEGRAM}" "/tmp/zabbix_cfg*.gz" "zabbix" "Backup Bind"
rm -f /tmp/*.gz

Permissões:

# chmod +x /etc/backups/backup_zbx.sh

Execute:

# /etc/backups/backup_zbx.sh

Backups SSH

Neste caso tenho o um servidor que irá receber nossos backups, sendo:

IP: 172.16.0.100 
Porta SSH: 60321
Usuários: jose
Senha: 123456
Diretório onde ficará os backups: /home/jose/backup/

Backup de um diretório

Vamos fazer o mesmo backup que fizemos anterior do “/etc/frr/*”.

# vim /etc/backups/backup_frr_ssh.sh

#!/bin/bash
# /bin/backup "todo_etc" "/etc/*" "jose" "123456" "172.16.0.100" "60321" "/home/jose/backup"

Permissão:

# chmod +x /etc/backups/backup_frr_ssh.sh

Execute:

# /etc/backups/backup_frr_ssh.sh

Backup de múltiplos diretórios

Ex backup DNS bind9

# vim /etc/backups/backup_bind_ssh.sh

#!/bin/bash
# /bin/backup "ns1_dns" "/etc/bind/* /usr/share/dns/* /var/cache/bind/*" "jose" "123456" "172.16.0.100" "60321" "/home/jose/backup"

Permissão:

# chmod +x /etc/backups/backup_bind_ssh.sh

Execute:

# /etc/backups/backup_bind_ssh.sh

Backup de um banco de dados Mysql/MariaDB

# vim /etc/backups/backup_bd_ssh.sh

#!/bin/bash
# Autor: remontti.com.br
# --------------------------------------
# USUARIO  DO BANCO DE DADOS
USER_DB='root'
# SENHA DO BANCO DE DADOS
SENHA_DB='senha'
# NOME DO BANCO DE DADOS
NOME_BANCO='radius'
# NOME PARA O BACKUP
NOME_DO_BKP='Freeradius'
# ID TELEGRAM
ID_TELEGRAM='-123456789000'
#----Servidor que recebe o Backup ------
# Usuários SSH
USER_SSH='jose'
# Senha SSH
PASS_SSH='senha'
# Porta SSH
PORT_SSH='22'
# Diretório onde ira salvar
DIR_SSH='/home/jose/backup'
# IP do servidor 
IP_SSH='172.16.0.100'
# --------------------------------------
DATABKP=`date +%Y-%m-%d`
NOME_BD="/tmp/${NOME_BANCO}.${DATABKP}.tar.gz"
mysqldump -h 127.0.0.1 -u ${USER_DB} -p${SENHA_DB} -B ${NOME_BANCO} > /tmp/${NOME_BANCO}.${DATABKP}.sql 
backup "${NOME_DO_BKP}" "/tmp/${NOME_BANCO}.${DATABKP}.sql" "${USER_SSH}" "${PASS_SSH}" "${IP_SSH}" "${PORT_SSH}" "${DIR_SSH}"
rm -f /tmp/*.sql &>/dev/null

Permissão:

# chmod +x /etc/backups/backup_bd_ssh.sh

Execute:

# /etc/backups/backup_bd_ssh.sh

Backup de “todos” os banco de dados Mysql/MariaDB

# vim /etc/backups/backup_bdall_ssh.sh

#!/bin/bash
# Autor: remontti.com.br
# --------------------------------------
# USUARIO  DO BANCO DE DADOS
USER_DB='root'
# SENHA DO BANCO DE DADOS
SENHA_DB='senha'
# NOME PARA O BACKUP
NOME_DO_BKP='ServidorWeb'
# ID TELEGRAM
ID_TELEGRAM='-123456789000'
#----Servidor que recebe o Backup ------
# Usuários SSH
USER_SSH='jose'
# Senha SSH
PASS_SSH='senha'
# Porta SSH
PORT_SSH='22'
# Diretório onde ira salvar
DIR_SSH='/home/jose/backup'
# IP do servidor 
IP_SSH='172.16.0.100'
# --------------------------------------
 
for BANCO in `ls -d /var/lib/mysql/*/ |cut -d / -f 5 |grep -v mysql |grep -v performance_schema`
do
    DATABKP=`date +%Y-%m-%d`
    NOME_BD="/tmp/${BANCO}.${DATABKP}.tar.gz"
    mysqldump -h 127.0.0.1 -u ${USER_DB} -p${SENHA_DB} -B ${BANCO} > /tmp/${BANCO}.${DATABKP}.sql 
done;
backup "${NOME_DO_BKP}" "/tmp/*.sql" "${USER_SSH}" "${PASS_SSH}" "${IP_SSH}" "${PORT_SSH}" "${DIR_SSH}"
rm -f /tmp/*.sql &>/dev/null

Permissão:

# chmod +x /etc/backups/backup_bdall_ssh.sh

Execute:

# /etc/backups/backup_bdall_ssh.sh

Backup do Zabbix-Server (Apenas do que interessa)

Para o backup do zabbix utilizo um script do maxhq que faz um dump apenas da parte da base que nos interessa, isso significa que você não terá salvo o historio das “coisa”! Porém realizei um fork do projeto qual fiz alguns ajustes para dar suporte ao zabbix 5.
Vamos baixa-lo em nosso diretório:

# cd /etc/backups/ 
# wget https://raw.githubusercontent.com/remontti/zabbix-backup/master/zabbix-dump
chmod +x /etc/backups/zabbix-dump

Crie seu script

# vim /etc/backups/backup_zbx_ssh.sh

#!/bin/bash
# Autor: remontti.com.br
#----Servidor que recebe o Backup ------
# Usuários SSH
USER_SSH='jose'
# Senha SSH
PASS_SSH='senha'
# Porta SSH
PORT_SSH='22'
# Diretório onde ira salvar
DIR_SSH='/home/jose/backup'
# IP do servidor 
IP_SSH='172.16.0.100'
# --------------------------------------
/etc/backups/zabbix-dump  -o /tmp &>/dev/null
backup "zabbix" "/tmp/zabbix_cfg*.gz" "${USER_SSH}" "${PASS_SSH}" "${IP_SSH}" "${PORT_SSH}" "${DIR_SSH}"
rm -f /tmp/*.gz

Permissões:

# chmod +x /etc/backups/backup_zbx_ssh.sh

Execute:

# /etc/backups/backup_zbx_ssh.sh

Bom com base nesses scripts e um pouco de imaginação acredito que você vai conseguir fazer muita coisa, mas como automatizar? Veremos isso agora!

Agendando o backup (Cron)

Vamos agendar nosso(s) scripts para serem feitos em algumas situações:

Execute o comando crontab -e.

# crontab -e

A primeira vez que você rodar o comando será solicitado qual editor você deseja, vou selecionar o nano “1” (ou apenas de Enter) por ser o mais fácil. Vale a leitura também: Agendamento CRON / CRONTAB e CronHowto

Select an editor.  To change later, run 'select-editor'.
  1. /bin/nano        <---- easiest
  2. /usr/bin/vim.basic
  3. /usr/bin/vim.tiny

Choose 1-3 [1]: 1 [ENTER]

Você precisa entender a ordem dos valores interpretado pelo cron:

# m h  dom mon dow   command
# * *  *   *   *     comando
# | |  |   |   |     |_ _ _ _ Comando a ser executado
# | |  |   |   |_ _ _ _ _ _ _ Semana (0-7 - domingo à domingo)
# | |  |   |_ _ _ _ _ _ _ _ _ Mês (01-12)
# | |  |_ _ _ _ _ _ _ _ _ _ _ Dia (01-31)
# | |_ _ _ _ _ _ _ _ _ _ _ _ _Hora (00-23)
# |_ _ _ _ _ _ _ _ _ _ _ _ _ _Minuto (00-59)

Alguns exemplos

Executar um backup todos os dias às 20h e 30min:

30 20  *   *   *     /etc/backups/backup_script.sh

Todo dia primeiro do mês às 00h e 45min:

45 00  1   *   *     /etc/backups/backup_script.sh

Toda segunda-feira às 04h:

00 04  *   1   *     /etc/backups/backup_script.sh

Curtiu o conteúdo? Quer me ajudar?

Participe do canal no telegram para ficar atualizado sempre que publicar um novo tutorial.

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

O post Criando backups de forma simples e enviando para o Telegram ou servidor via SSH apareceu primeiro em Remontti.

Requisitos SSH intalado

# apt install ssh

Primeiramente vamos mudar a porta do SSH  de preferencia para uma porta bem alta (são mais difíceis serem escaneadas) e após definir apenas um único usuário para conexão

# vim /etc/ssh/sshd_config

Aletere as seguintes linhas:

# Aqui vai da porta
Port 60321 
# Tempo que o usuario tem para fazer login
LoginGraceTime 10 
# Não permita que o usuário root se conecte
PermitRootLogin prohibit-password 

Adicione a linha:

# Apenas este usuário chamado "seu_usuario" irá conseguir 
# conectar-se via ssh por mais que exita outros usuários que 
# teriam permissões de acessa o bash.
AllowUsers seu_usuario 

Salve e reinicie o serviço:

# /etc/init.d/ssh restart

Pronto!

# ssh usuariodossh@seuip -p 60321

Agora sua porta de conexão SSH é a 60321, e só loga pleo “seu_usuario” terminou? Não!!!

Que tal enganar um pouco!
Vamos criar uma regra de firewall com iptables, caso você já tenha um script de firewall adicione a ele. A regra será um DROP na porta 22 assim vai dar uma falsa impressão que sua porta está protegia quando alguém usar algum scanner, vai passar aquele impressão: “- iii tem firewall na 22, vamos procurar outro….”

Drop falso na porta 22

# iptables -A INPUT -p tcp --dport 22 -j DROP

Se desejar filtrar sua porta de SSH (60321) e deixar apenas IP X ou Y conectarem-se, no meu exemplo deixo apenas os IP 200.1.2.3 e toda a classe 10.0.0.0-10.0.0.255.

# iptables -A INPUT -s 200.1.2.3 -p tcp --dport 60321 -j ACCEPT # IP Especifico 
# iptables -A INPUT -s 10.0.0.0/24 -p tcp --dport 60321 -j ACCEPT # Uma Classe
# ip6tables -A INPUT -s 3001:1234::/32 -p tcp --dport 60321 -j ACCEPT # Uma Classe v6
# iptables -A INPUT -p tcp --dport 60321 -j DROP
# ip6tables -A INPUT -p tcp --dport 60321 -j DROP v6

Como dito no momento que seu servidor for scanear seu servidor a porta 22 ira aparecer como filtrada.
Para verificar os filtros

iptables -nL
ip6tables -nL

Mas você ira precisar criar um script e colocar ele para iniciarlizar, e é por isso q eu recomendo você usar o nftables o nftables em vez do iptables, já que provavelmente vamos ver ele próximas distribuições no lugar do iptables. (Mas quis explicar o iptables também)

# apt install nftables
# systemctl enable nftables
# nft list ruleset
# vim /etc/nftables.conf 

#!/usr/sbin/nft -f
  
flush ruleset

table inet filter {
        chain input {
                type filter hook input priority 0;
                ip saddr 200.1.2.3 tcp dport 60123 counter accept
                ip saddr 10.0.0.0/24 tcp dport 60123 counter accept
                ip6 saddr 3001:1234::/32 tcp dport 60123 counter accept
                tcp dport 60123 counter drop
                tcp dport 22 counter drop
        }
        chain forward {
                type filter hook forward priority 0;
        }
        chain output {
                type filter hook output priority 0;
        }
}

Reinicie o serviço, verifique as regras

# systemctl restart nftables
# nft list ruleset

Instale o nmpa e faça um scanner

# apt install nmap
# nmap localhost

Resultado:

Not shown: 1674 closed ports
PORT STATE SERVICE
22/tcp filtered ssh

Assim já estou “protegido”! Legal!!!
Suficiente? Eu sou mais paranoico, então se desejar prossiga
O que vamos fazer, é meio que redundante como que fizemos no firewall, porém se por alguma “zica” seu firewall não tiver rodando/ou foi quebrado o próximo passo vai salvar! Vamos configurar nos hosts para bloquear o serviço SSH e liberar apenas para seu IP ou classe.

# vim /etc/hosts.allow

Adicione:

sshd: 200.1.2.3 # Ip Especifico
sshd: 10.0.0.0/24 # Uma Classe de IP

# vim /etc/hosts.deny

Adicione:

sshd: ALL

Agora sim né! Humm.. Sei não que tal instalar o fail2ban?

 # apt install fail2ban

Por padrão o modulo de proteção do SSH vem ativo (true) no Debian, no parâmetro maxretry você define o número de tentativas que poderá errar a senha para conexão a partir de um determinado IP.

Para alterar as configurações do fail2ban edite o arquivo /etc/fail2ban/jail.conf

vim /etc/fail2ban/jail.conf

Por padrão os tempos de banimento é de 10m e numero de tentativas é 5

bantime = 10m # Duração para um IP ficar banido
findtime = 10m # Se nenhuma correspondência nos logs é encontrada dentro de X tempo
maxretry = 5 # Tentativas ate o banimento

Adicione também a porta 60123 já que alteramos a mesma

[sshd]
# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
#mode   = normal
port    = ssh,60123
logpath = %(sshd_log)s
backend = %(sshd_backend)s

O filtro fica ativo em /etc/fail2ban/jail.d/defaults-debian.conf, você pode incluir maxretry so para ele bem como bantime, personalizando somente o filtro SSH. Ex.:

# vim /etc/fail2ban/jail.d/defaults-debian.conf

[sshd]
enabled = true
maxretry = 2
bantime  = 12h

Estamos 100% seguro? Nada é 100% seguro, mas certamente você levou seu nível de segurança a um nível “hard core”!

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento! (Esse deu trabalho!)

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Participe do canal no telegram para ficar atualizado sempre que publicar um novo tutorial.

Abraço!

O post Aumentando o nível de seguraça na conexão SSH apareceu primeiro em Remontti.

export HISTIGNORE="&:ssh *"

O post Dica de segurança (.bashrc) apareceu primeiro em Remontti.

Você poderá criar essas chaves como root ou usuário “comum”.
Cenário:

- 200.200.0.14 Servidor Backup 
- 200.200.0.2 Servidor Web

Por segurança para cada servidor que irá enviar o backup eu irei criar um usuário especifico.

Logue no meu servidor de backup e crie um usuário que irá receber a conexão. Ex.: bkpweb

$ ssh seu_usuario@200.200.0.14
$ su - 
# adduser bkpweb
# su - bkpweb
$ mkdir .ssh

Acesse seu servido “web”.

# ssh-keygen -t rsa 

Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:FgexLxcaDa6IVxcx8/lmA/BuE1RID5Rae6V55Qr5oLg root@cobaia
The key's randomart image is:

+---[RSA 2048]----+
|        X==+.    |
|       . &++  . .|
|      . *oX..= o |
|   . o o.B.=B . .|
|  . o . S.*o== . |
|   .   ..+.+ .o  |
|         .       |
|        E        |
|                 |
+----[SHA256]-----+

Com isso temos nossas duas chaves. Dois arquivos foram criados em /home/remontti/.ssh/. Sendo eles o id_rsa e id_rsa.pub.

– id_rsa é o arquivo no qual estará guardada sua chave privada. Pois ele será o responsável por toda a segurança de nossa comunicação.
– id_rsa.pub é o arquivo da chave pública, que iremos enviar a todos os servidores para que nosso acesso seja autorizado.

Envie sua chave publica para o servidor de backup para /home/”USUARIO”/.ssh/ com o nome de authorized_keys.

# scp -P 22  id_rsa.pub bkpweb@200.200.0.14:/home/bkpweb/.ssh/authorized_keys

Pronto, o servidor 200.200.0.14 aceitara todas vindo do usuário q você criou a chave sem solicitar uma senha usuário “bkpweb”.
Faça um teste do seu servidor “web” com destino ao de backup:

# ssh bkpweb@200.200.0.14 -p 22

Se tudo ocorreu como deveria não lhe foi mais solicitado senha! Agora você pode usar o comando scp.
Ex.:

# scp -P 22  meu_bkp.tar.gz bkpweb@200.200.0.14:/home/bkpweb/

Faça seu script e agende no cron e poderá ter um backup diário, semanal…. Utilize como achar melhor.

Ou simplesmente você está criando essa chave para poder acessar seus servidores, roteadores, etc…

Espero que tenha gostado!

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

O post Conexão SSH sem senha apareceu primeiro em Remontti.