Seguridad en OpenSSH

¿Qué es SSH?

SSH (Shell Segura) es un protocolo de red encriptado que permite la conexión en modo seguro de una máquina remota a través de una shell en modo texto.

OpenSSH es un estandard del cliente y servidor SSH usado en la mayoría de las distribuciones Linux. OpenSSH encripta todo el tráfico (incluyendo las contraseñas)  evitando que numerosos tipo de ataques se puedan efectuar. Así que dicho protocolo hace que la conexión sea segura de principio a fin.

OpenSSH, Puntos a tratar

  • Usar una contraseña fuerte.
  • Cambiar el puerto por defecto del SSH.
  • Forzar el protocolo 2 de SSH.
  • Deshabilitar el acceso a través del usuario root.
  • Limitar el acceso a los usuarios.

Usando contraseña fuerte

Uno de los mayores problemas a la hora de acceder al servidor es que la gente suele poner contraseñas fáciles de recordar. Esto provoca que con posibles ataques de fuerza bruta (brute force) se puede obtener la misma de manera relativamente fácil.

Lo que tenemos que evitar es poner una contraseña fácil e intentar que la misma tenga símbolos, números, mayúsculas y minúsculas.

Cambiando el puerto por defecto del SSH

El puerto por defecto que viene la instalación es el 22. Para cambiar la configuración debemos editar el fichero «/etc/ssh/sshd_config».

Buscamos la línea donde ponga la palabra «Port» y lo cambiamos por el puerto que queramos.

Port 2222

Recordad que antes debemos comprobar un puerto libre que no se use en el sistema. También debemos usar un puerto que esté por encima del 1024 ya que son los reservados por el sistema. Para ello tenemos el siguiente comando:

netstat -ntap | grep 4422

Forzar el protocolo 2 de SSH

Existen 2 versiones del protocolo SSH y el más seguro es el protocolo 2. Para saber más sobre las diferencias entre protocolos SSH pulsar sobre el enlace.

Para ello iremos de nuevo a «/etc/ssh/sshd_config» y buscaremos la palabra Protocol y lo cambiaremos por el 2.

Protocol 2

Deshabilitar el acceso SSH a través del usuario root

Todos los sistemas vienen por defecto para acceder directamente a través del usuario root. Uno de los ataques comunes es el uso de fuerza bruta (brute force) y sabiendo el usuario con el que suele entrar, root, pues tienen medio trabajo hecho.

Es por eso que lo que haremos es habilitar un usuario en el sistema que nos dará acceso al sistema y luego entraremos como root en el caso de que tengamos que administrar el sistema.

useradd operador
passwd operador

Después deshabilitaremos en las configuraciones de SSH «/etc/ssh/sshd_config» la siguiente opción.

PermiteRootLogin no

Limitar el acceso a los usuarios

El problema de limitar el acceso de los usuarios es que tenemos que acordarnos cada vez que damos permiso de una Shell a un usuario del sistema.

El otro método que existe es que cada vez que creemos un usuario que no necesite una Shell, se cree sin una de ella.

Siguiendo nuestro punto configuramos en «/etc/ssh/sshd_config» la siguiente opción:

AllowUsers operador usuario2 usuario3

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *