OpenSSH es un conjunto de aplicaciones que permiten realizar comunicaciones seguras entre diferentes nodos de una misma red utilizando el protocolo SSH. Estas fueron creadas como alternativas libre y abiertas al programa Secure Shell, que es software privativo.

Aunque para algunos usuarios las buenas prácticas de seguridad solo hay que llevarlas a cabo en sevidores y sistemas críticos, coger buenos hábitos siempre nos viene bien a todos.

Cambiar el puerto por defecto de SSH

El puerto usado para SSH es el 22. Para cambiarlo, tenemos que acceder al fichero de configuración /etc/ssh/sshd_config

Buscamos la línea que pone:

#Port22

Lo descomentamos y cambiamos el 22 por otro número, por ejemplo:

5022

En caso de duda para saber que puertos no estamos usando en nuestro PC/Servidor ejecutamos en el terminal:

$ netstat -ntap

Ahora para acceder por SSH al equipo tendremos que especificarle el puerto:

$ ssh -p 5022 usuario@equipo 

Usar protocolo 2

Dentro del fichero de configuración anterior buscamos la linea que está a continuación y la descomentamos:

# Protocol 2

Y ahora reiniciamos el servicio de SSH:

systemctl restart ssh 
 

No permitir acceso como Root

Seguimos en el fichero de configuración y ahora descomentamos:

#PermitRootLogin no 
 

Usuario con acceso por SSH

Ahora vamos a determinar que usuario van a poder entrar por SSH a nuestro servidor o equipos, para esto dentro del fichero de configuración vamos a poner:

AllowUsers manu itecma pepe

Con esta línea le daríamos permiso a manu, itecma y pepe a entrar al equipo.

Utilización de clave pública y clave privada

Este es el método más recomendable de usar, pero OJO, tendremos que tener mucho cuidado si tenemos el equipo sin contraseña, pues si nos roban la sesión podrían entrar en cualquier máquina donde tuviéramos permisos para entrar por SSH.

Creamos el par de llaves:

ssh-keygen -t rsa -b 4096

Pasamos la llave al equipo donde queremos conectarnos

ssh-copy-id -i -/.ssh/id_rsa.pub usuario@ip_equipo

Por último tenemos que tener descomentada en el fichero de configuración la siguiente línea:

AuthorizedKeysFile .ssh/authorized_keys
 

NIVEL MANÍACO

Podemos reducir el tiempo que tiene un usuario para loguearse en el sistema correctamente:

LoginGraceTime 30

Deshabilitar el uso de archivos rhosts o shosts, los que por razones de seguridad son instados a no utilizarse:

IgnoreRhosts yes IgnoreUserKnownHosts yes RhostsAuthentication no RhostsRSAAuthentication no

Revisar los permisos efectivos del usuario que inicia sesión durante el logueo:

StrictModes yes

Activar la separación de privilegios:

UsePrivilegeSeparation yes

Con esto lograremos tener un poco más de seguridad en nuestro ordenador o servidor, pero recuerden que el de verdad determina la seguridad que tiene el equipo es quien lo maneja no los softwares que tiene instalado.

---

Aprende a virtualizar con KVM

---