Professional Documents
Culture Documents
de forma remota
En este manual hablaremos sobre el SSH y cmo configurarlo para acceder remotamente a
nuestro equipo con GNU/Linux, tambin podremos acceder a nuestros routers si tienen
firmwares basados en Linux como Tomato RAF.
Qu es SSH?
Las siglas corresponden a Secure SHell. Sirve para acceder a mquinas remotas, igual que
hace telnet, pero de una forma segura ya que la conexin va cifrada. El transporte se hace
mediante TCP, por tanto nos garantiza que las rdenes van a llegar a su destino (conectivo,
fiable, orientado a conexin).
Seguridad
El cifrado de SSH proporciona autenticidad e integridad de los datos transmitidos por una
red insegura como internet.
SSH no slo sirve para usar comandos en mquinas remotas, sino para transferencias de
ficheros de forma segura ya sea por SCP o sFTP y servicios de escritorio remoto.
Instalacin
Vamos a usar OpenSSH por tanto vamos a instalarlo:
# Ponemos el puerto a escuchar por el SSH, por defecto es el 22. Deberemos abrir un
puerto en nuestro router redirigiendo hacia la IP interna de la mquina donde lo tengamos.
Port 1234
# Usaremos el protocolo 2 de SSH, mucho ms seguro, por tanto forzamos a que siempre
conecten por protocolo 2.
Protocol 2
# HostKeys for protocol version 2. El lugar donde se guardan las keys.
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Logging
SyslogFacility AUTH
LogLevel INFO
RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys
# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
#MaxStartups 10:30:60
#Banner /etc/issue.net
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
UsePAM yes
MaxAuthTries 2
Si usamos SFTP enjaulado debemos poner esto y comentar la lnea (Subsystem sftp
/usr/lib/openssh/sftp-server):
Como podis ver, usando openssh-server tambin tenis levantado un servidor sFTP.
http://www.redeszone.net/app/uploads/cdn/down/soft/redes/make_chroot_jail.sh
A continuacin escribimos:
Tecleamos yes, y a continuacin metemos la clave que queramos que tenga (estamos
creando un usuario nuevo).
Salimos y entramos por ssh y veremos que efectivamente no podr salir de ese directorio.
No hace falta que reiniciemos el servidor SSH.
Opciones adicionales de Seguridad
Podemos conectarnos al servidor sin usuario clave, utilizando un certificado RSA que
proporcionar mucha ms seguridad, pero como siempre que sucede en estos casoses
ms incmodo y no siempre vas a llevar encima tu certificado, por tanto esta parte la voy a
obviar.
Podemos tambin instalar el programa fail2ban para banear IPs que hagan muchos intentos
de conexin fallidos (que metan mal la clave).
Ahora hacemos:
Y pegamos esto:
[ssh]
enabled = true
port = 1234
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
cd /var/log/
gedit auth.log
https://www.redeszone.net/gnu-linux/servidor-ssh-en-ubuntu/