Servidor SSH

De CURE - Informática
Revisión del 18:05 14 ene 2022 de Lorena.duhalde (discusión | contribs.)
(difs.) ← Revisión anterior | Revisión actual (difs.) | Revisión siguiente → (difs.)
Ir a la navegación Ir a la búsqueda
La versión para imprimir ya no se admite y puede contener errores de representación. Actualiza los marcadores del navegador y utiliza en su lugar la función de impresión predeterminada del navegador.

Servidor SSH

Resumen SSH

El cliente ssh ya viene instalado por defecto en Ubuntu, no así el servidor ssh.


Instalación por línea de comandos:

Para instalarlo hay que ejecutar: 

$ sudo apt-get install openssh-server

Nota: Es posible que el paquete no se encuentre en los repositorios, para agregarlo hay que actualizar la lista abriendo un terminal y ejecutando el comando: 

$ sudo apt-get update

Modo gráfico:

1. Ir a: Sistema-> Administración-> Gestor de paquetes synaptic 2. Ingresar en el buscador: openssh-server 3. Seleccionar el paquete openssh-server y hacer click en "aplicar"

Nota: Es posible que el paquete no se encuentre en los repositorios, para agregarlo hay que actualizar la lista abriendo un terminal y ejecutando el comando: 

$ sudo apt-get update

Después de instalado, para poder configurarlo hay que editar el archivo /etc/ssh/sshd_config Muy recomendado hacerle una copia de respaldo de este archivo antes de modificarlo: $ sudo cp /etc/ssh/sshd_config{,.original}

El demonio ssh atiende por defecto en el puerto 22, para cambiarlo hay que ir a la linea donde dice: 

Port 22

y cambiar el 22 por el puerto que queramos usar.

Para no permitir que se puedan hacer login con el usuario root por ssh hay que cambiar: 

PermitRootLogin yes
por:
PermitRootLogin no

También se puede hacer que si se pueda ingresar por ssh a root, pero que solo pueda ser mediante clave pública-privada: 

PermitRootLogin without-password

Esta es la opción más recomendable.

Para elegir que usuarios podrán acceder por ssh, hay que agregar la siguiente linea: AllowUsers <usuario1> <usuario2> <usuario3>

Para que los cambios surtan efecto hay que reiniciar el servidor: 

$ sudo /etc/init.d/ssh restart

Para solo recargar el cambio de configuración sin reiniciar el servicio: 

$ sudo /etc/init.d/ssh reload


SSH con clave pública-privada

Para generar nuestra clave: 

$ ssh-keygen -t rsa

Una vez generada, hay que copiarla al usuario del ordenador remoto con el que queremos mantener la relación de confianza usando el comando ssh-copy-id. Este es un ejemplo del uso con la salida del programa: 

$ ssh-copy-id usuario_remoto@192.168.0.1

Now try logging into the machine, with "ssh 'usuario_remoto@192.168.0.1'", and check in:

.ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.

En caso que nos de este error cuando queramos entrar por ssh: Agent admitted failure to sign using the key.

Debemos ejecutar el comando: 

$ ssh-add

Nos pedirá el passphrase: Enter passphrase for /home/usuario/.ssh/id_rsa: Identity added: /home/pablo/.ssh/id_rsa (/home/pablo/.ssh/id_rsa)

Protejer nuestro servidor SSH

DenyHosts

Con denyhosts podremos prevenir el ataque a el servicio o demonio SSH por métodos como fuerza bruta o diccionario. Este después de sucesivos intentos erroneos de logeo por SSH bloquea el acceso a la ip fuente.

Para instalarlo: 

$ apt-get install denyhosts

Luego para configurarlo editamos el archivo: 

/etc/denyhosts.conf

Tiene muchas opciones para configurar, pero las que nos interesan son: 

* purgar las ip bloqueadas después de una hora: PURGE_DENY = 1h
* bloqueo a intentos de login para usuarios inválidos: DENY_THRESHOLD_INVALID = 3
* bloqueo a intentos de login para usuarios válidos: DENY_THRESHOLD_VALID = 5
* bloqueo a intentos de login con el usuario root: DENY_THRESHOLD_ROOT = 1
* bloqueo a intentos de login con usuarios restringidos: DENY_THRESHOLD_RESTRICTED = 1
* vuelve a 0 (cero) el contador de intentos fallidos desde una ip cuando el login es válido: RESET_ON_SUCCESS = yes

Luego de terminar de editar el archivo, hay que reinicar el servicio: 

/etc/init.d/denyhosts restart

Sshblock

Otra forma es mediante Sshblock, que en vez de usar el archivo /etc/hosts.deny usa el archivo /etc/hosts.allow. Primero hay que descargar el script desde la web: 

http://www.la-samhna.de/misc/sshblock.sh

Guardarlo en: 

/usr/local/bin/sshblock.sh

no es requisito guardarlo en esa ubicación.

Luego, cambiarle los permisos y permitirle ejecutarse: 

chmod 755 /usr/local/bin/sshblock.sh

Y agregar al final del /etc/hosts.allow las siguientes lineas: 

#__START_SSHBLOCK__
#__END_SSHBLOCK__
sshd : ALL : spawn (/usr/local/bin/sshblock.sh %a)&

Para configurarlo, solo hay que ir a donde guardamos el script y editar las siguientes lineas. Una muestra de configuración sería: 

# your own domain 
DONTBLOCK=192.168

# block host if more than BURST_MAX connections within BURST_TIM seconds
BURST_MAX=5
BURST_TIM=60

# remove block after PURGE_TIM seconds
PURGE_TIM=3600

Con la opción DONTBLOCK le decimos que ip's o redes no bloquear. Luego le decimos la cantidad de intentos máximos permitidos y el intervalo de tiempo, de esta manera al quinto intento en 60 segundos bloqueará la ip. Y por último el tiempo de espera para purgar la ip.

Referencias

http://www.la-samhna.de/library/brutessh.html#5

Créditos 

   * Pablo García. Resumen de instalación SSH Server, Foro de Ubuntu Desktop.
Obtenido de «https://wiki.cure.edu.uy/index.php?title=Servidor_SSH&oldid=2102»