Busca


imprimir pdf

Instalação da chave SSH OVH


Introdução


Afim de intervir num servidor dedicado sem ter de saber a sua password root, instalamos por defeito uma chave SSH. Só as pessoas da OVH habilitadas podem utilizar esta chave. Isto não representa então uma falha de segurança, bem pelo contrário. Graças a esta chave, a OVH possui os direitos root sobre o seu servidor sem conhecer a sua password root e pode, assim diagnosticar rapidamente um problema sobre a sua máquina. No caso de um pedido de intervenção em info-gerência (InfogerenciaS), precisamos imperativamente de um acesso através desta chave SSH. No caso de um ataque lançado desde a sua máquina, esta chave é o único meio que temos para aceder rapidamente ao servidor e de parar o ataque.

Se por razões de segurança e/ou de confidencialidade, deseja impedir a OVH de aceder ao seu servidor, podemos desactivar a chave SSH. Mas pelas razões citadas acima, esta manipulação é desaconselhada.

Procedimento


Se esta chave não está instalada sobre o seu servidor, eis o meio de a instalar:


ou


  • Depois marque o seguinte comando:



Se tudo correu bem, um ficheiro authorized_keys2 foi normalmente criado. Contém as linha de esta forma :

root@julien root# cat /root/.ssh/authorized_keys2
from="XX.XX.XX.XX" ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIE.... root@cache.ovh.net
from="::ffff:XX.XX.XX.XX" ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIE.... root@cache.ovh.net


Resolução dos problemas

Mesmo se a chave está correctamente instalada, é possível que os nossos serviços não se possam ligar ao seu servidor. Isto não traduz um acesso recusado ou um pedido de password root. (a OVH não tem a sua password root, de onde a utilidade da chave). Deve então verificar estes pontos :

1. O ficheiro /root/.ssh/authorized_keys2 está bem aqui ? (ou seja "Será que a chave SSH está bem instalada?"),

2. Será que o servidor SSH está correctamente configurado para aceitar as ligações root ? Para isso, deve verificar os seguintes parâmetros no ficheiro /etc/ssh/sshd_config:

PermitRootLogin yes
'AuthorizedKeysFile' .ssh/authorized_keys2
UsePAM yes


Depois, reinicie o servidor SSH se necessário.

3. Será que o directório da base do utilizador root é bem /root? Para isso, deve verificar a configuração do utilizador root:

root@julien /# grep root /etc/passwd
root:x:0:0:root:/root:/bin/bash


O sexto elemento da linha (os elementos estão separados por ":") tem de ser /root.
Se mesmo assim, o acesso através da chave SSH for impossível, pode pedir a intervenção do nosso serviço de infogerência para reconfigurar o acesso. Visto que deverá então aceder "fisicamente" ao seu servidor, esta intervenção será facturada em 70 euros s/IVA (ver InfogerenciaS).

Desactivação da chave


Se deseja que a OVH não possa mais ligar-se em SSH sobre a sua máquina, tem a possibilidade de desactivar a chave SSH. No entanto, esta manipulação é desaconselhada porque a OVH não poderá então intervir sobre a sua máquina para um diagnóstico, um problema de hack ou uma intervenção de infogerência. Um problema que poderia ter sido resolvido rapidamente graças a um acesso SSH através desta chave poderá então atingir prazos muito maiores.

Para desactivar a chave SSH utilizada pela OVH, basta-lhe editar o ficheiro authorized_keys2 e de comentar (com a ajuda
do carácter #) estas duas linhas:

root@julien root# cat /root/.ssh/authorized_keys2

1. from="XX.XX.XX.XX" ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIE.... root@cache.ovh.net

2. from="::ffff:XX.XX.XX.XX" ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIE.... root@cache.ovh.net