SSH (Secure SHell, en español: intérprete de órdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo la computadora mediante un intérprete de comandos, y también puede redirigir el tráfico de X para poder ejecutar programas gráficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo.
Además de la conexión a otros dispositivos, SSH nos permite copiar datos de forma segura (tanto ficheros sueltos como simular sesiones FTP cifradas), gestionar claves RSA para no escribir claves al conectar a los dispositivos y pasar los datos de cualquier otra aplicación por un canal seguro tunelizado mediante SSH.
¿Como instalar SSH?
1. Abrimos una terminal y escribimos el siguiente comando
sudo apt-get install ssh
2. Ahora solo esperamos a termine la instalcion y es todo con respecto a la instalacion.
¿Como configurar el servidor SSH?Para saber las directivas que podemos realizar en el Servidor SSH, escribimos este comando:
man sshd_config
Ahora los archivos importantes para la configuracion son los siguientes:
/etc/ssh/sshd_config
/etc/ssh/ssh_config
/etc/hosts.deny
/etc/hosts.allow
1. Escribimos lo siguiente:
sudo nano /etc/ssh/sshd_config.
A continuación se analizarán los parámetros a modificar.
Parámetro Port.
Una forma de elevar considerablemente la seguridad al servicio de SSH, es cambiar el número de puerto utilizado por el servicio, por otro que solo conozca el administrador del sistema. A este tipo de técnicas se les conoce como Seguridad por Oscuridad. La mayoría de los delincuentes informáticos utiliza guiones que buscan servidores que respondan a peticiones a través del puerto 22. Cambiar de puerto el servicio de SSH disminuye considerablemente la posibilidad de una intrusión a través de este servicio.
Port 22
SSH trabaja a través del puerto 22 por TCP. Puede elegirse cualquier otro puerto entre el 1025 y 65535. ejemplo:
Port 52341
Parámetro ListenAddress.
Por defecto, el servicio de SSH responderá peticiones a través de todas las interfaces del sistema. En algunos casos es posible que no se desee esto y se prefiera limitar el acceso sólo a través de una interfaz a la que sólo se pueda acceder desde la red local. Para tal fin puede establecerse lo siguiente, considerando que el servidor a configurar posee la IP 192.168.1.254:
ListenAddress 192.168.1.254
Parámetro PermitRootLogin.
Establece si se va a permitir el acceso directo del usuario root al servidor SSH. Si se va a permitir el acceso hacia el servidor desde redes públicas, resultará prudente utilizar este parámetro con el valor no.
PermitRootLogin no
Parámetro X11Forwarding.
Establece si se permite o no la ejecución remota de aplicaciones gráficas. Si se va a acceder hacia el servidor desde red local, este parámetro puede quedarse con el valor yes. Si se va a permitir el acceso hacia el servidor desde redes públicas, resultará prudente utilizar este parámetro con el valor no.
X11Forwarding yes
Parámetro AllowUsers.
Permite restringir el acceso por usuario y, opcionalmente, anfitrión desde el cual pueden hacerlo. El siguiente ejemplo restringe el acceso hacia el servidor SSH para que solo puedan hacerlo los usuarios fulano y mengano, desde cualquier anfitrión.
AllowUsers fulano mengano
Permite restringir el acceso por usuario y, opcionalmente, anfitrión desde el cual pueden hacerlo. El siguiente ejemplo restringe el acceso hacia el servidor SSH para que solo puedan hacerlo los usuarios fulano y mengano, solamente desde los anfitriones 10.1.1.1 y 10.2.2.1.
AllowUsers fulano@10.1.1.1 mengano@10.1.1.1 fulano@10.2.2.1 mengano@10.2.2.1
Aplicando los cambios.
Cambiar el número de intentos fallidos de autentificación
Cambiar el número de intentos fallidos de autentificación es una buena estrategia, sobre todo si nuestro servidor está escuchando en una red pública. De ésta forma podemos evitar que un posible atacante intente repetidamente averiguar una contraseña.
Editamos el archivo /etc/ssh/sshd_config:
MaxAuthTries 2
Cambiar el número de conexiones concurrentes no autentificadas
Ésta es una buena estrategia también, para evitar intentos de conexión. La directiva MaxStartUps controla el número de conexiones no autenticadas en el servidor, de ésta forma, evitamos que posibles atacantes intentasen conectarse demasiadas veces.
Editamos el archivo /etc/ssh/sshd_config
MaxStartUps 3
El servicio de SSH puede iniciar, detenerse o reiniciar a través de un guión similar a los del resto del sistema. De tal modo, podrá iniciar, detenerse o reiniciar a través del mandato service y añadirse al arranque del sistema en un nivel o niveles de corrida en particular con el mandato chkconfig.
En esta linea es para cuadno se inicie sesion aparesca un mensaje y despues el login y por obvia razon hay que modificar tambien el archivo /etc/issue.net asi para que aparezca el cambio o en su caso hacemos uno nuevo en la ruta de la carpeta donde esta la configuracion.
Banner /etc/issue.net
Para ejecutar por primera vez el servicio, utilice:
sudo service sshd start
Para hacer que los cambios hechos a la configuración surtan efecto, utilice:
service sshd restart
Para detener el servicio.
sudo service sshd stop
No hay comentarios.:
Publicar un comentario