-
Instalacin y configuracin de Servidor SSH
1
AO DE LA DIVERSIFICACIN PRODUCTIVA Y EL FORTALECIMIENTO DE
LA
EDUCACIN
I.- DATOS GENERALES
1. Facultad: Ingeniera
2. Carrera Profesional: Ingeniera De Sistemas
3. Centro Uladech Catlica: Sullana
4. Nombre de la asignatura: Administracin de Servidores
5. Semestre acadmico: II Ciclo acadmico: VI
6. Docente tutor: Ing. Miguel Ancajima Holguin
7. Integrantes:
Carmen Alburqueque Estebes
Daniel Ayala Sernaque
-
Instalacin y configuracin de Servidor SSH
2
Servidor SSH
Instalacin del servidor SSH
Desde el terminal ejecutamos
$ sudo apt-get install openssh-server openssh-client
Concluida la instalacin, procedemos a configurar el servidor
Configuracin
Para configurar el servidor SSH,editamos el archivo
sshd_config
$ sudo gedit /etc/ssh/sshd_config
Iniciaremos definiendo en qu direccin queremos que escuche el
servidor ssh, de forma
que en caso de tener varias interfaces de red (una pblica y otra
privada) slo se acceda
por una de ellas.
Cambiar la directiva ListenAddress a (por ejemplo) la direccin
privada del servidor:
# Use these options to restrict which interfaces/protocols sshd
will bind to #ListenAddress ::
#ListenAddress 0.0.0.0 ListenAddress 192.168.1.136
Recomendacin: para evitar ataques de hackers y hacerles ms
difcil que se conecten
se debe desactivar la opcin para que se conecte el usuario
"root", cambiando a no en
la siguiente lnea: PermitRootLogin yes
# Authentication:
LoginGraceTime 120
-
Instalacin y configuracin de Servidor SSH
3
PermitRootLogin no StrictModes yes
Cambiando a un puerto no estndar
Para aumentar la seguridad, una de las prcticas habituales es
cambiar el puerto
estndar (22) a uno no estndar (por ejemplo 5039).
Cambiamos la directiva Port de 22 a (por ejemplo) 5039:
# What ports, IPs and protocols we listen for
Port 5039
Incrementando la seguridad
Con los pasos anteriores tendremos un servidor ya bastante
seguro, pero todo se puede
mejorar. Ahora vamos a definir otros aspectos de seguridad.
Cambiar el nmero de intentos fallidos de autenticacin
Cambiar el nmero de intentos fallidos de autenticacin es una
buena estrategia, sobre
todo si nuestro servidor est escuchando en una red pblica. De
sta forma podemos
evitar que un posible atacante intente repetidamente averiguar
una contrasea:
Cambiamos la directiva MaxAuthTries, si no est la aadimos al
final del archivo:
MaxAuthTries 2
Si fallamos la contrasea dos veces, nos desconecta.
Cambiar el nmero de conexiones concurrentes no
autentificadas
sta es una buena estrategia tambin, para evitar intentos de
conexin. La directiva
MaxStartUps controla el nmero de conexiones no autenticadas en
el servidor, de sta
forma, evitamos que posibles atacantes intentasen conectarse
demasiadas veces.
Cambiamos la directiva MaxStartUps, si no est la aadimos al
final del archivo:
MaxStartUps 3
Permitiendo y denegando hosts
Para permitir y denegar los accesos, editaremos los archivos
/etc/hosts.deny y
/etc/hosts.allow. En el primero de ellos denegaremos todos los
hosts y en el segundo
permitiremos algunos, de forma que quedar todo denegado excepto
lo que permitamos
en hosts.allow.
Es imprescindible que comprendamos que los archivos hosts no se
aplican solo al
servidor ssh, sino a toda la mquina, por lo que hay que tener
especial cuidado a la
hora de permitir o denegar los accesos. sta prctica puede no ser
adecuada en
-
Instalacin y configuracin de Servidor SSH
4
servidores web y tener en cuenta qu servicios permitir y
denegar.
De sta forma, si tenemos un servidor conectado a dos redes (una
red interna y una
red pblica) podramos denegar el acceso desde la red pblica.
Desde el terminal ejecutamos:
$ sudo gedit /etc/hosts.deny
Una vez abierto el archivo agregamos:
ALL: ALL
Ahora editamos el archivo hosts.allow:
sudo gedit /etc/hosts.allow
Y aadimos los hosts que queramos:
sshd: 192.168.1.136 # Permitir una direccin.
sshd: 192.168.1.* # Permitir todo el rango de la IP 192.168.1.1
a 192.168.1.255.
Conectando al servidor:
Desde el terminal ejecutamos
javier@javierpc:~$ ssh [email protected]
The authenticity of host '192.168.1.136 (192.168.1.136)' can't
be established.
ECDSA key fingerprint is
c5:4a:cc:74:ab:a1:77:81:90:0d:4e:3a:98:8f:ee:b6.
Are you sure you want to continue connecting (yes/no)? y
Please type 'yes' or 'no': yes
Warning: Permanently added '192.168.1.136' (ECDSA) to the list
of known hosts.
[email protected]'s password:
Una vez conectados nos muestra:
The programs included with the Ubuntu system are free
software;
the exact distribution terms for each program are described in
the
individual files in /usr/share/doc/*/copyright.
Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by
applicable law.
Welcome to Ubuntu 12.10 (GNU/Linux 3.5.0-17-generic i686)
* Documentation: https://help.ubuntu.com/
4 packages can be updated.
0 updates are security updates.
Generando la clave de acceso:
Desde el terminal ejecutar:
-
Instalacin y configuracin de Servidor SSH
5
javier@javierpc:~$ ssh-keygen
A
continuacin, para controlar y tener acceso al servidor,
simplemente deberemos escribir
en la terminal del ordenador cliente, el siguiente comando con
los datos de acceso al
ordenador remoto:
ssh -p puerto usuario@ipservidor
Donde:
"SSH" es el comando en s.
"-p" indica a SSH que utilice un puerto no privilegiado (para
conexiones tras
router o firewall que bloquean conexiones a puertos
privilegiados (< 1024)
"puerto" por defecto es el puerto 22. Si usis otro, poned su
valor aqu.
"usuario" nombre de usuario en el servidor
"ipservidor" como su nombre indica, la IP asignada al servidor y
con la que se conecta a la red.
Por ejemplo:
javier@javierpc:~$ ssh -p 5039 [email protected]
Otra forma de conectar al servidor: Instalando Putty
Es tambin posible abrir una terminal remota usando un cliente
ssh. Entre los clientes ms
populares, ligeros y verstiles, para Windows y Linux, se
encuentran putty.
PuTTY es un cliente SSH, Telnet, rlogin, y TCP raw con licencia
libre. Es un cliente de
acceso remoto a mquinas informticas de cualquier tipo mediante
SSH.
Desde el terminal ejecutar:
-
Instalacin y configuracin de Servidor SSH
6
javier@javierpc:~$ sudo apt-get install putty
Una vez culminada la instalacin, ejecutamos Putty para iniciar
una nueva sesin:
Aplicaciones --> Internet --> puTTY SSH client
En SSH:
En la figuras
1 2
3
4
-
Instalacin y configuracin de Servidor SSH
7
anteriores se muestra los datos necesarios para la conexin:
En sesin:
IP del servidor, el puerto y el nombre de para la conexin
En SSH:
En Preferred SSH protocol version, Verificar que la opcin 2 se
encuentre
seleccionada.
Luego volver a la opcin de Sesin y hacer click en Open
Luego de
-
Instalacin y configuracin de Servidor SSH
8
configurar los datos de la sesin, nos muestra los siguiente:
Pulsamos en Accept, luego de ingresar el password nos permite el
accesp al servidor:
Iniciar el
servidor:
javier@javierpc:~$ sudo service ssh start
ssh start/running, process 4738
Detener el servidor:
javier@javierpc:~$ sudo service ssh stop
