Configuração de ssh.fee.unicamp.br como Jump Host

 

Este documento descreve como utilizar o servidor ssh.fee.unicamp.br como um Jump Host (ou Bastion Server) para acessar de forma segura outros servidores internos da rede FEEC que não possuem acesso direto pela internet.

1. Visão Geral

O servidor ssh.fee.unicamp.br é o ponto de entrada oficial para alunos e colaboradores da FEEC realizarem acessos remotos e utiliza autenticação centralizada via LDAP.

 

Ao utilizá-lo como um "Salto" (Jump), você estabelece uma conexão segura com o bastion e, a partir dele, o tráfego é encaminhado para o servidor de destino final na rede interna.

2. Pré-requisitos

  • Possuir uma conta ativa na Unicamp (usuário e senha LDAP).
  • Estar ciente de que o servidor possui políticas de segurança rígidas, incluindo o uso de fail2ban, que bloqueia o IP de origem por 10 minutos após 3 tentativas de login sem sucesso.

3. Método 1: Linha de Comando (Flag -J)

A forma mais simples e moderna de realizar o salto é utilizando o parâmetro -J no comando SSH. Este comando cria automaticamente o túnel através do bastion.

 

Comando:
ssh -J <email@unicamp.br>@ssh.fee.unicamp.br <usuario_destino>@<ip_ou_host_interno>

 

  • email@unicamp.br: Seu e-mail institucional da Unicamp.
  • usuario_destino:  Usuário do host interno
  • ip_ou_host_interno: O endereço do servidor interno que você deseja acessar (ex: um servidor de laboratório).

4. Método 2: Automação via Arquivo de Configuração

Para evitar digitar comandos longos, você pode configurar o salto permanentemente no seu arquivo local de configuração do SSH.

 

  1. Abra ou crie o arquivo ~/.ssh/config na sua máquina local.
  2. Adicione as seguintes linhas:

 

Host ssh_feec

    HostName ssh.fee.unicamp.br

    User email@unicamp.br

 

Host servidor-interno

    HostName <IP_OU_HOST_DO_SERVIDOR_FINAL>

# Port 2222 ## Se a porta for diferente da padrão 22

    User usuario_destino

    ProxyJump ssh_feec

# Para acessar serviços da rede interna, adicione as diretivas de redirecionamento abaixo.
      # LocalForward 8032 localhost:631 ## 8032->Porta local, localhost:631->Porta remota
      # LocalForward 8080 localhost:80 ## 8080->Porta local, localhost:80 ->Porta remota

 

Com esta configuração, você pode acessar o servidor interno apenas digitando:
ssh servidor-interno

 

Nota: O redirecionamento de portas funciona via SSH. Se precisar acessar outros serviços (web, docker etc.), você deve primeiro acessar via SSH (como acima) e só depois acessar o outro serviço (via navegador web, por exemplo). Esse redirecionamento só fica ativo enquanto a conexão SSH com o servidor remoto estiver estabelecida.

5. Segurança

O ambiente do servidor de salto segue padrões de endurecimento (hardening) para garantir a integridade dos acessos:

 

Componente

Detalhe Técnico

Segurança de Login

Fail2ban monitorando /var/log/auth.log

Limite de Erros

3 tentativas (maxretry = 3)

Tempo de Banimento

10 minutos (bantime = 10m)

6. Autenticação com Chave Pública (SSH Key)

Para garantir a máxima segurança do ambiente e tornar seu acesso muito mais prático sem a necessidade de digitar sua senha LDAP a cada nova conexão, recomendamos fortemente a configuração da autenticação via chave pública (SSH Key).