Está en la página 1de 1

ANLISIS CURSOS ONLINE ROUTERS WIFI PLC TEST DE VELOCIDAD REDES SEGURIDAD

570 Seguir a @redeszone


MANUALES FIRMWARES BITTORRENT ANDROID GNU LINUX D-LINK HOGAR DIGITAL EDIMAX SMART LIFE DEVOLO PLC

CONFIGURA UN SERVIDOR SSH EN UBUNTU


PARA ACCEDER A TU EQUIPO DE FORMA
REMOTA
Comparte: 95 1 Google + 0 0

En este manual hablaremos sobre el SSH


y cmo configurarlo para acceder
remotamente a nuestro equipo con
GNU/Linux, tambin podremos acceder a
nuestros routers si tienen firmwares
basados en Linux como Tomato RAF.

Qu es SSH?

Las siglas corresponden a Secure SHell.


Sirve para acceder a mquinas remotas, igual que hace telnet, pero de una forma
segura ya que la conexin va cifrada. El transporte se hace mediante TCP, por
tanto nos garantiza que las rdenes van a llegar a su destino (conectivo, fiable,
orientado a conexin).

Seguridad

El cifrado de SSH proporciona autenticidad e integridad de los datos transmitidos


por una red insegura como internet.

Utiliza llaves pblicas para la autenticacin en la mquina remota.


LTIMOS ANLISIS
SSH no slo sirve para usar comandos en mquinas remotas, sino para
Edimax BR- Valoracin RZ
transferencias de ficheros de forma segura ya sea por SCP o sFTP y servicios de
escritorio remoto.
6208AC V2 AC750
7
Mirad 25 formas para sacarle partido al SSH ASUS RT-AC52U Valoracin RZ

Instalacin
B1 AC750
7
Vamos a usar OpenSSH por tanto vamos a instalarlo: ASUS RP-AC53 Valoracin RZ

sudo apt-get install openssh-server


AC750
8
TP-Link NC450 Valoracin RZ

Ahora procedemos a su configuracin. 10


Comandos que debemos tener en cuenta devolo GigaGate Valoracin RZ

Para editar la configuracin del servidor SSH debemos hacer en consola: 8


sudo gedit /etc/ssh/sshd_config NETGEAR Arlo Valoracin RZ

VMS3230
8
Para arrancar el servidor:
D-Link DCS- Valoracin RZ

sudo /etc/init.d/ssh start


8200LH
9
* Starting OpenBSD Secure Shell server sshd Edimax IC-6220DC Valoracin RZ

Para parar el servidor:


7
D-Link DIR-879 Valoracin RZ
sudo /etc/init.d/ssh stop EXO AC1900
7
* Stopping OpenBSD Secure Shell server sshd
NETGEAR Orbi Valoracin RZ

Para reiniciar el servidor:


AC3000
9
sudo /etc/init.d/ssh restart

RedesZone
* Restarting OpenBSD Secure Shell server sshd
Seguir +1

Configuracin del servidor + 3.320

Una vez instalado, vamos a configurar el servidor, hacemos en consola:

sudo gedit /etc/ssh/sshd_config

Y podremos editar sus opciones, os pongo mi fichero de configuracin y una


explicacin de lo que podis cambiar.

# Package generated configuration file


# See the sshd_config(5) manpage for details

# Ponemos el puerto a escuchar por el SSH, por defecto es el 22. Deberemos


abrir un puerto en nuestro router redirigiendo hacia la IP interna de la
mquina donde lo tengamos.
Port 1234
# Usaremos el protocolo 2 de SSH, mucho ms seguro, por tanto forzamos a
que siempre conecten por protocolo 2.
Protocol 2
# HostKeys for protocol version 2. El lugar donde se guardan las keys.
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
TUTORIALES DE AYUDA
# Lifetime and size of ephemeral version 1 server key
Android Latch
KeyRegenerationInterval 3600 Bugtraq Mac OS X
Chromecast Raspberry Pi
ServerKeyBits 2048
Curso de Redes Redes
Curso HTML y CSS Seguridad
# Logging Curso Java online Informtica
FreeNAS Descarga Software
SyslogFacility AUTH GNU/Linux Whatsapp
LogLevel INFO IPFire Windows
IPsec Movistar FTTH

# Authentication, importante la parte PermitRootLogines vuestra decisin


LoginGraceTime 120 FABRICANTES
PermitRootLogin no
StrictModes yes Alfa Network Nextcloud
ASUS Orange
ASUSTOR Popcorn Hour
RSAAuthentication yes
Cisco Linksys QNAP
PubkeyAuthentication yes Comtrend Salicru
D-Link Sitecom
#AuthorizedKeysFile %h/.ssh/authorized_keys devolo SpotCam
dodocool Synology
# Dont read the users ~/.rhosts and ~/.shosts files Edimax Thecus
Foscam TP-Link
IgnoreRhosts yes FRITZ! TRENDnet
HP Western Digital
# For this to work you will also need host keys in /etc/ssh_known_hosts
Huawei Zaapa
RhostsRSAAuthentication no Kaiboer ZTE
NETGEAR ZyXEL
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you dont trust ~/.ssh/known_hosts for
RhostsRSAAuthentication FIRMWARES
#IgnoreUserKnownHosts yes
Firmware Firmware Tomato
# To enable empty passwords, change to yes (NOT RECOMMENDED) Comtrend RAF
Firmware DD- Firmwares Zyxel
PermitEmptyPasswords no WRT

# Change to yes to enable challenge-response passwords (beware issues


with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords


#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables


AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes
MaxAuthTries 2

Si usamos SFTP enjaulado debemos poner esto y comentar la lnea


(Subsystem sftp /usr/lib/openssh/sftp-server):

Subsystem sftp internal-sftp


Match user servidor
ChrootDirectory /home/jail/home
AllowTcpForwarding no
ForceCommand internal-sftp

Como podis ver, usando openssh-server tambin tenis levantado un servidor


sFTP.

Enjaular un usuario con OpenSSH en Ubuntu


Imaginemos que queremos crear un usuario a nuestro amigo Sanobis, pero no
queremos que pueda ver todos los archivos del sistema, es decir, vamos a
enjaularle en su directorio /home/ nicamente.

Nos bajamos este archivo:

http://www.redeszone.net/app/uploads/cdn/down/soft/redes/make_chroot_jail.sh

Y lo ponemos en el directorio raz por comodidad.

Le asignamos permisos 700

sudo chmod 700 make_chroot_jail.sh

A continuacin escribimos:

bash make_chroot_jail.sh sanobis

Tecleamos yes, y a continuacin metemos la clave que queramos que tenga


(estamos creando un usuario nuevo).

Ahora, su directorio enjaulado es /home/jail/home/sanobis

Salimos y entramos por ssh y veremos que efectivamente no podr salir de ese
directorio. No hace falta que reiniciemos el servidor SSH.

Opciones adicionales de Seguridad

Podemos conectarnos al servidor sin usuario clave, utilizando un certificado RSA


que proporcionar mucha ms seguridad, pero como siempre que sucede en estos
casoses ms incmodo y no siempre vas a llevar encima tu certificado, por tanto
esta parte la voy a obviar.

Podemos tambin instalar el programa fail2ban para banear IPs que hagan
muchos intentos de conexin fallidos (que metan mal la clave).

Podemos instalarlo poniendo

sudo apt-get install fail2ban

Ahora hacemos:

sudo gedit /etc/fail2ban/jail.local

Y pegamos esto:

[ssh]
enabled = true
port = 1234
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

Y lo iniciamos,paramos y reiniciando haciendo como si fuera el SSH, en este caso


start=iniciar:

sudo /etc/init.d/fail2ban start

Para ver los LOGS de conexin haced esto:

cd /var/log/
gedit auth.log

Tambin tenemos otro programa dedicado exclusivamente al SSH, se llama


DenyHost y tiene una gran base de datos de IPs conocidas como atacantes. Con
esto estaremos un poquito ms seguros.

Publicado por Sergio De Luz el 28 Noviembre 2010 , actualizado el 21 Febrero


2017


PARTICIPAMOS EN PARTNERS

Aviso Legal
Contacto
Publicidad