Mac OS X Brasil » Servidor

Acessar outro Mac via SSH sem senha: autenticação através de certificados RSA

Rodrigo Calado — Sun, 07 Feb 2010 04:28:07 +0000

O OpenSSH é talvez a ferramenta mais utilizada por administradores de sistemas atualmente. Quando de seu desenvolvimento, o objetivo dele foi substituir ferramentas inseguras como telnet, rlogin, etc. Ele permite que você se conecte de forma segura a qualquer dispositivo (como switches, roteadores, servidores Mac OS X, Linux, FreeBSD, OpenBSD, Solaris, etc.) que esteja executando um servidor SSH com suporte aos protocolos 1 ou 2.

A configuração

A autenticação vai acontecer assim:

O cliente SSH vai enviar uma requisição para o servidor pedindo uma conexão
O servidor SSH vai pedir o certificado do cliente para garantir que o cliente realmente tem a permissão de se conectar
Quando receber o certificado, o servidor vai verificar em seu banco de dados se o certificado está correto. Caso esteja, a sessão será aberta.

Para isso, vamos começar gerando o certificado do cliente. Para isso execute o seguinte comando:

# ssh-keygen -t rsa -b 2048

O “ssh-keygen” não precisa necessariamente ser executado como root. Se a chave criada para o usuário “x” for reconhecida pelo servidor, o usuário “x” poderá logar como “root” no servidor, explico isso mais com mais detalhes adiante.

Executando o “ssh-keygen” será gerada uma chave RSA de 2048 bits (eu especifiquei na linha comando, mas não é necessário já que este é o padrão). O mínimo para o RSA é de 768 bits. Algumas perguntas serão feitas para você. Os valores exibidos entre “()” são os valores padrão e, se quiser mantê-los, basta pressionar “enter”, não precisa escrever a opção novamente:

Enter file in which to save the key (/root/.ssh/id_rsa): Aqui você apenas define o diretório onde os certificados gerados serão armazenados;
Enter passphrase (empty for no passphrase): Você tem a opção de digitar uma senha para o certificado. Isso não é necessário, você pode simplesmente apertar “enter” aqui e na próxima pergunta, que apenas confirma a passphrase digitada anteriormente.

Agora, temos que falar para o servidor que ele deverá aceitar esse certificado. Para isso, transferimos o certificado para o servidor de forma segura:

# scp /root/.ssh/id_rsa.pub root@192.168.1.104:/root

Isso irá copiar a chave pública do cliente para o servidor, no diretório /root. Agora, temos que adicionar esse certificado ao banco de dados que contém os certificados aceitos por esse servidor. No servidor, execute:

# cat id_rsa.pub >> /root/.ssh/authorized_keys

Vale lembrar que o diretório “.ssh” só existirá se você tiver utilizado o SSH pelo menos 1 vez, anteriormente (se ele não existir, pode criá-lo na mão). Caso o arquivo authorized_keys não exista, basta executar o comando citado acima.

Pronto! Agora você já pode se conectar ao servidor de uma forma absolutamente segura, sem medo que roubem a sua senha (já que você não a envia através da rede) e sem medo de ataques brute force (que são totalmente inofensivos contra autenticação baseada em certificados RSA).

Com qual usuário eu vou logar?

A autenticação via certificados pode ser utilizada para qualquer usuário válido no servidor, não apenas para o usuário root. Seguindo os passos descritos anteriormente, você poderá logar sem senha como root utilizando o seguinte comando:

$ ssh root@192.168.1.104

Isso, considerando que você não esteja executando este comando como root. Se estiver, basta:

# ssh 192.168.1.104

MAMP: Macintosh, Apache, MySQL e PHP! Baixe agora mesmo este software e desenvolva seu site localmente!

Rodrigo Calado — Fri, 03 Jul 2009 19:00:32 +0000

Em poucos cliques você instala um servidor Apache com o PHP integrado e todos os módulos comuns e um sistema de gerenciamento de banco de dados que é o MySQL com o MAMP.

A instalação é muito fácil, você baixará um arquivo ZIP e, ao descompactá-lo, clicará sobre o arquivo DMG e arrastará o software para a pasta Aplicativos. Pronto, o aplicativo foi instalado!

Clique aqui para baixá-lo!

Habilitando o named / bind local no seu Mac OS X para resolução de nomes na internet…

Rodrigo Calado — Tue, 19 May 2009 16:34:03 +0000

É comum sempre termos problemas com DNS na resolução de nomes em internet/intranet, porém o Mac OS X possui o named/bind instalado nativamente que, por sua vez, vem desabilitado por default (padrão).
Para ativá-lo, siga as regras abaixo:

1) Digite sudo su para adquirir os privilégios de root, digitando a senha do seu usuário, conforme imagem abaixo.
2) Rode os comandos abaixo:

3) Edite o arquivo org.isc.named.plist e troque true por false em Disabled:

4) Habilitar e iniciar o named com os seguintes comandos:

5) Agora altere nas propriedades da rede o DNS para 127.0.0.1, conforme imagem abaixo:

Pronto! Sejam felizes resolvendo nomes de sua própria máquina. Assim, nunca terão problemas com DNS de provedores que mais caem do que ficam em pé.

Abraços a todos!

Habilitando / instalando o servidor APACHE no Mac OS X

Rodrigo Calado — Thu, 08 Jan 2009 00:39:42 +0000

Passo 1

Acesse as preferências do sistema.

Passo 2

Clique em compartilhamento dentro da seção de internet e rede.

Passo 3

Ative o compartilhamento web clicando sobre a caixa de seleção.

Passo 4

Pronto! Acesse o endereço http://localhost/ ou o http://IP_DA_SUA_MAQUINA/, onde aparecerá uma página de que o apache foi instalado com êxito. Caso o seu usuário se chame joao, dentro de http://localhost/˜joao/ aparecerão os arquivos que forem copiados para a pasta Sites dentro de /Users/joao. Assim você poderá testar códigos, disponibilizar arquivos para os amigos baixarem pela internet, etc.

Mais dúvidas? Postem nos comentários que responderemos.

Abraços!