2.1 SSH

Seguridad en Sistemas Informticos
(SSI)
Laboratorio:
Acceso remoto seguro con SSH
Carlos Prez Conde

Departament d'Informtica
Escola Tcnica Superior d'Enginyeria
Universitat de Valncia
10/03/08
Carlos Prez, Dpto. de Informtica, ETSE, UVEG
SSH
Objetivos:
Actividades a realizar
10/03/08
aprender a utilizar la herramienta SSH para aumentar la seguridad

de los accesos remotos a sistemas informticos
comprobacin de la puesta en marcha del servidor

establecimiento de conexiones remotas
ejecucin de rdenes remotas
autentificacin mediante criptografa asimtrica
redireccin de puertos
Puesta en marcha del servidor en exta
Arrancar exta (uml.sh a)
Entrar en la consola como root
Comprobar que el servidor (sshd) est corriendo:

netstat -atnp
Probar a conectarse al propio nodo:
10/03/08
ssh localhost
Identificar la conexin recin establecida
debe aparecer una lnea del estilo:

tcp 0 0 :::22 :::*
LISTEN
1106/sshd
Si no estuviese corriendo, ponerlo en marcha: /etc/init.d/ssh start
pista: usar netstat con -t y buscar conexiones "ESTABLISHED"
Cerrar la conexin
Establecimiento de conexiones remotas

(desde base)
Conectarse a exta desde base
sugerencia: usar la opcin -X, consultando antes en el manual

para qu sirve
Identificar la conexin recin establecida
Usar esta conexin para ejecutar 'xclock' en 2 plano
Averiguar qu servidor X est utilizando
sugerencia: utilizar 'echo $DISPLAY', netstat y consultar las

transparencias del curso
Parar la aplicacin xclock
Cerrar la conexin SSH
10/03/08
Ejecucin de rdenes remotas
Ejecutar en exta la orden 'date'
Ejecutar en exta la orden 'xclock'
Utilizando 'scp', copiar un fichero al directorio /tmp de

exta (ej: scp fichero root@exta.example.net:/tmp/.)
sugerencia: crear y despus copiar un fichero con un par de lneas
Comprobar que el fichero ha sido transferido

correctamente
10/03/08
sugerencia: utilizar las opciones -X y -f, consultando antes en el

manual para qu sirven
sugerencia: conectarse con 'ssh' y verlo con 'cat' o,

alternativamente, comprobarlo con la ejecucin remota de 'cat'
Autentificacin con criptografa asimtrica

En base, crear un par de claves con 'ssh-keygen'
crear las claves de tipo 'dsa' (sugerencia: utilizar la opcin -t)

guardar la clave privada como $HOME/.ssh/id_dsa
utilizar una frase de paso
Aadir la clave pblica ($HOME/.ssh/id_dsa.pub) al

fichero $HOME/.ssh/authorized_keys de exta
Conectarse a exta desde base utilizando 'ssh'
Observar que ahora pide la frase de paso de la clave

privada (y no la contrasea)
10/03/08
Empleo del agente de autentificacin

En 'base', aadir la clave privada al agente,
introduciendo la frase de paso cuando sea solicitada
sugerencia: usar ssh-add
Conectarse a exta desde base utilizando 'ssh'
Observar que NO pide NI la frase de paso de la clave NI

la contrasea
Probar a ejecutar rdenes remotas y a copiar ficheros

(no debe hacer falta contrasea)
En 'base', eliminar la clave del agente (sugerencia: usar

ssh-add con las opciones -d -D)
10/03/08
Utilizacin de claves para tareas concretas
Crear un nuevo par de claves DSA con frase de paso,

utilizando 'copia_dsa' como nombre de la clave privada
Aadir la clave pblica ($HOME/.ssh/copia_dsa.pub) al

fichero $HOME/.ssh/authorized_keys de exta
Aadirla al agente
Comprobar que funciona sin pedir contrasea
Editar el fichero $HOME/.ssh/authorized_keys de exta

para que cuando el cliente se autentifique con esa clave
se ejecute la orden '/bin/date'
10/03/08
sugerencia: consultar las transparencias del curso
Comprobar que slo se puede ejecutar 'date'

Redireccin de puertos
Poner en marcha 'netcat' en modo servidor en el puerto

20023 de extc (netcat -l -p 30023)
Desde base, conectarse a exta de manera que las

conexiones al puerto 30000 de exta sean redirigidas
al puerto 30023 de extc
Conectarse en exta con 'netcat' al puerto 30000

(netcat localhost 30000)
Comprobar que no existen conexiones entre exta y

extc, pero s existen las siguientes:
10/03/08
SSH entre base y exta

conexin de bae al puerto 30023 de extc
Cerrar la conexin
Redireccin de puertos (2)
Desde base, conectarse a exta de manera que las

conexiones al puerto 30000 de base sean redirigidas
al puerto 30023 de extc
Conectarse en base con 'netcat' al puerto 30000

(netcat localhost 30000)
Comprobar que no existen conexiones entre base y

extc, pero s existen las siguientes:
10/03/08
SSH entre base y exta

conexin de exta al puerto 30023 de extc
Cerrar la conexin
10

2.1 SSH

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

2.1 SSH

Cargado por

Copyright:

Formatos disponibles

Seguridad en Sistemas Informticos

Carlos Prez Conde

Carlos Prez, Dpto. de Informtica, ETSE, UVEG

aprender a utilizar la herramienta SSH para aumentar la seguridad

comprobacin de la puesta en marcha del servidor

Carlos Prez, Dpto. de Informtica, ETSE, UVEG

Puesta en marcha del servidor en exta

Arrancar exta (uml.sh a)

Entrar en la consola como root

Comprobar que el servidor (sshd) est corriendo:

Probar a conectarse al propio nodo:

Identificar la conexin recin establecida

debe aparecer una lnea del estilo:

pista: usar netstat con -t y buscar conexiones "ESTABLISHED"

Establecimiento de conexiones remotas

sugerencia: usar la opcin -X, consultando antes en el manual

Identificar la conexin recin establecida

Usar esta conexin para ejecutar 'xclock' en 2 plano

Averiguar qu servidor X est utilizando

sugerencia: utilizar 'echo $DISPLAY', netstat y consultar las

Parar la aplicacin xclock

Cerrar la conexin SSH

Carlos Prez, Dpto. de Informtica, ETSE, UVEG

Ejecucin de rdenes remotas

Ejecutar en exta la orden 'date'

Ejecutar en exta la orden 'xclock'

Utilizando 'scp', copiar un fichero al directorio /tmp de

sugerencia: crear y despus copiar un fichero con un par de lneas

Comprobar que el fichero ha sido transferido

sugerencia: utilizar las opciones -X y -f, consultando antes en el

sugerencia: conectarse con 'ssh' y verlo con 'cat' o,

Carlos Prez, Dpto. de Informtica, ETSE, UVEG

Autentificacin con criptografa asimtrica

crear las claves de tipo 'dsa' (sugerencia: utilizar la opcin -t)

Aadir la clave pblica ($HOME/.ssh/id_dsa.pub) al

Conectarse a exta desde base utilizando 'ssh'

Observar que ahora pide la frase de paso de la clave

Carlos Prez, Dpto. de Informtica, ETSE, UVEG

Empleo del agente de autentificacin

sugerencia: usar ssh-add

Conectarse a exta desde base utilizando 'ssh'

Observar que NO pide NI la frase de paso de la clave NI

Probar a ejecutar rdenes remotas y a copiar ficheros

En 'base', eliminar la clave del agente (sugerencia: usar

Carlos Prez, Dpto. de Informtica, ETSE, UVEG

Utilizacin de claves para tareas concretas

Crear un nuevo par de claves DSA con frase de paso,

Aadir la clave pblica ($HOME/.ssh/copia_dsa.pub) al

Comprobar que funciona sin pedir contrasea

Editar el fichero $HOME/.ssh/authorized_keys de exta

sugerencia: consultar las transparencias del curso

Comprobar que slo se puede ejecutar 'date'

Poner en marcha 'netcat' en modo servidor en el puerto

Desde base, conectarse a exta de manera que las

Conectarse en exta con 'netcat' al puerto 30000

Comprobar que no existen conexiones entre exta y

SSH entre base y exta

Redireccin de puertos (2)

Desde base, conectarse a exta de manera que las

Conectarse en base con 'netcat' al puerto 30000

Comprobar que no existen conexiones entre base y

SSH entre base y exta

Carlos Prez, Dpto. de Informtica, ETSE, UVEG