Práticas de Segurança do Mole: Guia para Gerenciamento de Chaves e Transmissão Criptografada
O Mole é uma ferramenta CLI focada na criação de túneis SSH robustos e amigáveis. A sua segurança fundamental repousa no tratamento adequado das chaves e na configuração da transmissão cifrada. Este guia descreve como implementar uma postura de segurança de nível corporativo, abrangendo desde a geração das chaves até a proteção do tráfego.
Geração Segura de Chaves
Utilize o ssh-keygen para criar pares de chaves que atandam aos padrões NIST. O algoritmo ED25519 é recomendado por oferecer maior segurança e desempenho comparado ao RSA.
ssh-keygen -t ed25519 -C "usuario-tunel@exemplo.com" -f ~/.ssh/chave_mole
Este comando gera uma chave privada (chave_mole) e uma chave pública (chave_mole.pub) no diretório especificado.
Controle de Permissões dos Arquivos
As permissões dos arquivos de chave devem ser estritamente controladas para evitar acesso não autorizado.
chmod 700 ~/.ssh
chmod 600 ~/.ssh/chave_mole
chmod 644 ~/.ssh/chave_mole.pub
A validação das permissões é um ponto de verificação crucial; chaves com permissões inadequadas são automaticamente rejeitas.
Configuração da Transmissão Criptografada
Force o uso de cifras modernas e seguras nas configurações do Mole, desativando algoritmos obsoletos ou vulneráveis.
# Dentro de um arquivo de configuração de alias (ex: config.toml)
[configuracao_ssh]
cifras = ["aes256-gcm@openssh.com", "chacha20-poly1305@openssh.com"]
algoritmos_mac = ["hmac-sha2-512-etm@openssh.com"]
algoritmos_kex = ["curve25519-sha256@libssh.org"]
Uso Seguro do Agente de Chaves
Ao utilizar o ssh-agent para gerenciar chaves, ative o recurso de bloqueio de chaves para adicionar uma camada extra de proteção.
ssh-add -x ~/.ssh/chave_mole # Bloqueia a chave
ssh-add -X # Desbloqueia temporariamente (exige senha)
Ciclo de Vida e Rotação de Chaves
Implemente uma política de rotação regular, por exemplo, a cada 90 dias. O processo envolve a geração de novas chaves e a atualização das configurações.
# 1. Gerar novo par de chaves
ssh-keygen -t ed25519 -C "novo-tunel@exemplo.com" -f ~/.ssh/chave_mole_nova
# 2. Atualizar o alias no Mole
mole alias add --alias tunel-novo -k ~/.ssh/chave_mole_nova usuario@hostremoto:22
# 3. Testar a nova configuração
mole start tunel-novo
# 4. Remover as chaves antigas após confirmação
rm ~/.ssh/chave_mole*
Procedimento de Revogação de Emergência
Em caso de suspeita de comprometimento de uma chave, siga estes passos:
- Remova a chave pública correspondente do arquivo
~/.ssh/authorized_keysno servidor remoto. - Exclua o alias associado no Mole:
mole alias delete tunel-comprometido. - Delete os arquivos de chave local e gere um novo par de chaves.
Medidas Avançadas de Segurança
Para túneis críticos, integre autenticação de dois fatores baseada em TOTP. Ative a autenticação por desafio-resposta nas configurações SSH.
[configuracao_ssh]
autenticacao_desafio_resposta = true
Esta funcionalidade é frequentemente implementada usendo módulos PAM no lado do servidor.
Auditoria e Logging
Habilite logs detalhados para sessões SSH do Mole. Defina um nível de log adequado e um caminho de arquivo seguro.
mole start tunel-producao --nivel-log=debug --arquivo-log=/var/log/mole/producao.log
Garanta que o arquivo de log tenha permissões restritivas (ex: 600) e seja mantido com uma política de rotação.
Lista de Verificação de Segurança
- Utilizar chaves ED25519 ou RSA-4096.
- Definir permissões de arquivo de chave para 600/644.
- Desativar login por senha no SSH, autenticando apenas por chave.
- Especificar explicitamente algoritmos de criptografia modernos na configuração.
- Rotacionar chaves periodicamente.
- Ativar logs de auditoria de sessão.
- Aplicar o princípio do menor privilégio.