SSH

SSH (Secure SHell) es un protocolo que permite acceder a mquinas de forma remota
a travs de la red. Para asegurar la comunicacin se utilizan tcnicas de cifrado sobre
la informacin transferida en la sesin.
Aunque las sesiones suelen ser textuales se soportan conexiones grficas X mediante
tneles.
Existen varios clientes libres y gratuitos como:
El conjunto putty.exe (usado para sesiones remotas) y winscp.exe (para
intercambio de ficheros)
SSH Secure Shell Client
1)
permite realizar conexiones remotas e intercambio de
fichero desde la misma aplicacin.


Autenticacin sin password
Habitualmente, cuando un usuario se conecta, se autentica en el servidor indicando su
nombre y password. En muchos casos el nombre puede omitirse y se utilizar el
nombre que se ha utilizado en la mquina origen.
Tambin es posible omitir el password utilizando en su lugar un par de llaves. Para
generar este par de llaves es necesario ejecutar:
ssh-keygen -t rsa -N "" -f ~/.ssh/id_rsa
Seguidamente, se procede a copiar la clave pblica (id_rsa.pub) en todos los
ordenadores a los que se quiera conectar sin password en el fichero authorized_keys.
Por ejemplo, en un cluster con el home comn se hara:
cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
FTP: FTP (siglas en ingls de File Transfer Protocol, 'Protocolo de Transferencia de Archivos')
en informtica, es un protocolo de red para la transferencia de archivos entre sistemas
conectados a una red TCP (Transmission Control Protocol), basado en la arquitectura cliente-
servidor. Desde un equipo cliente se puede conectar a un servidor para descargar archivos
desde l o para enviarle archivos, independientemente del sistema operativo utilizado en cada
equipo.

Cmo usar ssh
Secure Shell, o ssh, es el mtodo ms moderno y relativamente seguro para
conectarte remotamente a una computadora. El anterior protocolo dominante de
comunicacin, telnet, transmite las contraseas en el formato cleartext y se vuelve
por lo tanto fcil de interceptar para un intruso. Aunque no ests preocupado
especialmente por proteger tu cuenta de usuario personal, hay muchas maneras
en las que pueden usar tu computadora para provecho y perjuicio de otros, en
especial si consiguen acceso a los directorios raz de una computadora tras haber
conseguido hacerse pasar por los usuarios administrativos del sistema; desde ese
momento el intruso se convierte en "dueo" de la computadora y la puede usar,
por ejemplo, como una "terminal pasiva" para realizar ataques informticos contra
el servicio de Internet en otras computadoras, saturando la red con trfico
inservible. As que procura usar ssh siempre que sea posible, por el bien de todos
los usuarios de Internet. Los usuarios novatos de Linux pueden tener problemas
para usar el lenguaje tcnico con el que se denominan las diferentes carpetas y
discos duros, por citar slo un ejemplo. Para simplificar este artculo a los usuarios
que an estn familiarizndose con Linux, recrearemos un caso especfico como
ejemplo de escenario para usar ssh: Mara tiene un laptop de la cual es la nica
usuaria. Su nombre de usuario es mary y ha nombrado a su equipo "laptop", as
que su direccin aparece como mary@laptop en la terminal o shell. Roberto tiene
una computadora de escritorio a la que ha llamado "desktop", y su nombre de
usuario es "bob", por lo tanto su direccin se muestra como bob@desktop cuando
l est en la terminal. Usaremos este esquema para entender cmo es posible
hacer funcionar el ssh. Usaremos a Mara como ejemplo; ella quiere saber cmo
enviar archivos a la computadora de Roberto, as como respaldar sus directorios
en una carpeta que ambos comparten.

Pasos
1.
1
Instala ssh, si no lo tienes: viene instalado en todos los equipos vendidos con Linux
como sistema operativo, y tambin en todas las computadoras Macintosh actuales. Los
usuarios de Windows pueden obtenerlo tan slo con ejecutar la base de instalacin
de Cygwin teniendo OpenSSH instalado en el equipo, o sencillamente descargando Putty.
Ten en cuenta, no obstante, que los siguientes pasos siguen la sintaxis de comandos de
Unix (Linux, Mac OS/X) o Cygwin.
2
La manera ms simple, aunque no la mejor, de transferir archivos usando
ssh es hacerlo en la misma manera en que usaras telnet; este mtodo
encripta el trfico de informacin usando las pautas por default del sistema:

$ ssh yo@remote.mi

En estos ejemplos, yo es tu nombre de usuario en la computadora remota,
y remote.mi es la computadora a la que te ests conectando. Mara, con su
nombre de usuario mary, quiere conectarse remotamente a la computadora de
Roberto, as que l con su nombre de usuario bob deber dar de alta el usuario
de Mara en su computadora. Mara entonces escribe el comando $ ssh
mary@desktop. El sistema le pedir una contrasea para ese usuario que Roberto
previamente dio de alta. Si el usuario de Mara en el sistema local (su laptop) es el
mismo que en el sistema remoto (la computadora de escritorio de Roberto), puede
obviar el nombre de usuario:

$ ssh desktop
1.
3
Una mejor manera de hacerlo es usando claves compartidas.
Para empezar genera una clave usando ssh-keygen:

$ ssh-keygen -t dsa -b 2048

2048 bits puede ser algo paranoico, pero no entorpece el trfico de informacin
para casi ninguna computadora; si quieres una encriptacin ms comn puedes
usar 1024 bits. El algoritmo DSA es ms seguro que el RSA para encriptacin.
Ahora cuando te conectes por primera vez al sistema remoto, aparecer un cuadro
de dilogo parecido a ste:

jcomeau@ns003:~$ ssh tty.freeshell.org
The authenticity of host 'tty.freeshell.org (192.168.73.1)' can't be
established.
RSA key fingerprint is 53:2b:ba:92:a7:88:ca:c1:ff:c2:1c:d1:53:11:fc:4e.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'tty.freeshell.org,192.168.73.1' (RSA) to the
list of known hosts.
jcomeau@tty.freeshell.org's password:
Last login: Mon Jan 7 19:33:21 2008 from 189.130.14.207
$
Al acceder al sistema remoto (la computadora de Roberto), Mara debe
asegurarse de que en l exista un directorio ssh oculto y un archivo con la clave
de autorizacin:

$ mkdir -m700 .ssh
$ touch .ssh/authorized_keys
$ chmod 600 .ssh/authorized_keys

Si el directorio ya existe, aparecer un mensaje de error alertando al respecto,
pero puedes ignorarlo sin mayores problemas. Ahora puedes salir del sistema,
usualmente con la secuencia de teclas ctrl-D.
Copia tu clave pblica a la computadora remota (en nuestro ejemplo, de laptop a
desktop). Estos son los comandos que Mara introducir en su laptop:

$ cat .ssh/id_dsa.pub | ssh mary@desktop "cat >> .ssh/authorized_keys"

Presta mucha atencin al uso de "caracteres y signos de puntuacin"! Las
comillas bajas deben ser dobles como se muestra en el ejemplo, o borrars del
sistema cualquier clave con la que ya cuentes; las comillas altas tambin debern
teclearse en la posicin exacta, o el comando no surtir efecto.
A partir de este momento, cuando Mara enve informacin va ssh a 'desktop', el
sistema ya no le pedir ninguna contrasea! El protocolo se encarga de autenticar
la conexin, usando la clave pblica en la computadora remota de Roberto y la
clave privada en la computadora local de Mara.
2.
4
Se pueden dar de alta varios usuarios para que se conecten de manera
segura a una computadora central usando ssh, y al combinar la actividad de
intercambio con Rsync se pueden establecer mtodos muy efectivos para
respaldar la informacin de manera rpida y segura.

Consejos
Cuando ejecutes ssh-keygen, te pedirn una "passphrase". Puedes simplemente
presionar la tecla <ENTER> para saltarte esa barrera adicional de seguridad.
Para contar con este beneficio de seguridad en un caf internet, instala un disco USB
extrable usando Damn Small Linux o Knoppix, y arranca la computadora del caf de
manera que corra sobre el disco extrable. De otra manera, aunque puedas
descargarPutty para usarlo como un cliente ssh, puede haber instalados detectores de
teclas u otros medios de interceptar la informacin en el disco local de la computadora del
caf, y tu privacidad quedara expuesta.
o No te olvides de ejecutar el respaldo despus de crear tu clave compartida usando DSL.
El respaldo se localiza en el men del Sistema, que se despliega al dar clic derecho en
cualquier punto del escritorio. Cuando te pregunte el nombre del Equipo, puedes obviar
el /dev, es decir, por lo general slo teclears sda1.
Anuncio

Advertencias
Ningn mtodo de transmitir datos informticos es completamente seguro, y las agencias
del gobierno en particular tienen acceso a recursos que permiten romper cualquier
encriptacin con la que se acceda a una computadora remota.