Documentos de Académico
Documentos de Profesional
Documentos de Cultura
(/)
MENU
Buscar
Enviar
OpenSSH (Open Secure Shell) es un conjunto de aplicaciones que permiten realizar comunicaciones
cifradas a través de una red, usando el protocolo
(https://es.wikipedia.org/wiki/Protocolo_(inform%C3%A1tica)) SSH (https://es.wikipedia.org/wiki/SSH).
Fue creado como una alternativa libre y abierta al programa Secure Shell
(https://es.wikipedia.org/wiki/Secure_Shell), que es software propietario. « Wikipedia
(https://es.wikipedia.org/wiki/OpenSSH).
Puede que algunos usuarios piensan que las buenas prácticas solo deben ser aplicadas en los
servidores y no es así. Muchas distribuciones GNU/Linux incluyen OpenSSH por defecto y hay algunas
cosas que debemos tener en cuenta.
SEGURIDAD
Estos son los 6 puntos más importantes a tener en cuenta a la hora de configurar SSH:
#Port 22
Port 7022
Para saber los puertos que no estamos usando en nuestro ordenador/servidor podemos ejecutar en el
terminal:
$ netstat ‐ntap
Ahora para acceder a nuestro ordenador o servidor debemos hacerlo con la opción -p de la siguiente
forma:
$ ssh ‐p 7022 usuario@servidor
USAR PROTOCOLO 2
Para asegurarnos de que estamos usando la versión 2 del protocolo SSH, debemos editar el fichero
/etc/ssh/sshd_config y buscar la línea que dice:
# Protocol 2
#PermitRootLogin no
y la descomentamos. Creo que vale aclarar que antes de hacer esto debemos asegurarnos que nuestro
usuario tenga los permisos necesarios para realizar tareas administrativas.
AllowUsers elav usemoslinux kzkggaara
Donde evidentemente, los usuarios elav, usemoslinux y kzkggaara son los que podrán acceder..
ssh‐keygen ‐t rsa ‐b 4096
ssh‐copy‐id ‐i ~/.ssh/id_rsa.pub elav@200.8.200.7
AuthorizedKeysFile .ssh/authorized_keys
OTRAS OPCIONES
Aporte de Yukiteru
LoginGraceTime 30
Para evitar ataques a ssh por medio de TCP Spoofing, dejando activo el alive encriptado del lado de ssh
por un máximo de 3 minutos, podemos activar estas 3 opciones.
TCPKeepAlive no
ClientAliveInterval 60
ClientAliveCountMax 3
Deshabilitar el uso de archivos rhosts o shosts, los cuales por razones de seguridad son instados a no
utilizarse.
IgnoreRhosts yes
IgnoreUserKnownHosts yes
RhostsAuthentication no
RhostsRSAAuthentication no
StrictModes yes
UsePrivilegeSeparation yes
CONCLUSIONES:
Haciendo estos pasos podremos añadir un extra de seguridad a nuestros ordenadores y servidores,
pero nunca debemos olvidar que hay un factor importante: lo que hay entre la silla y el teclado. Es por
ello que les recomiendo la lectura de este artículo (http://blog.desdelinux.net/pasos-para-asegurar-
nuestro-vps/).
ARTÍCULOS RELACIONADOS
Convirtiendo a un Windowser en linuxero: ¿Cómo hacerlo? (http://blog.desdelinux.net/convirtiendo-a-
un-windowser-en-linuxero-como-hacerlo/)
Tips para escoger una distribución de GNU/Linux (http://blog.desdelinux.net/tips-para-escoger-una-
distribucion-de-gnulinux/)
Artículos (http://blog.desdelinux.net/author/elav/)
DEJA UN COMENTARIO
Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *
Nombre *
Correo electrónico *
Web
Comentario
Publicar comentario
Notificarme los nuevos comentarios por correo electrónico. También puedes suscribirte
(http://blog.desdelinux.net/comment-subscriptions?srp=62525&srk=&sra=s) sin comentar.
LoginGraceTime 30
Esto nos permite reducir el tiempo de espera en el que un usuario puede loguearse
satisfactoriamente al sistema a 30 segundos
TCPKeepAlive no
ClientAliveInterval 60
ClientAliveCountMax 3
Estas tres opciones son bastante útiles para evitar ataques a ssh por medio de TCP
Spoofing, dejando activo el alive encriptado del lado de ssh por un maximo de 3 minutos.
IgnoreRhosts yes
IgnoreUserKnownHosts yes
RhostsAuthentication no
RhostsRSAAuthentication no
Deshabilita el uso de archivos rhosts o shosts, los cuales por razones de seguridad son
instados a no utilizarse.
StrictModes yes
Esta opción es usada para chequear los permisos efectivos del usuario durante el login.
UsePrivilegeSeparation yes
1/8
Responder (/buenas-practicas-openssh/?replytocom=135022#respond)
elav (http://www.desdelinux.net)
9 julio, 2015 5:02 PM (http://blog.desdelinux.net/buenas-practicas-
________openssh/#comment-135024)
Eugenio (http://www.etccrond.es/)
9 julio, 2015 5:30 PM (http://blog.desdelinux.net/buenas-practicas-openssh/#comment-
135025)
3/8
Responder (/buenas-practicas-openssh/?replytocom=135025#respond)
elav (http://www.desdelinux.net)
10 julio, 2015 7:26 AM (http://blog.desdelinux.net/buenas-practicas-
________openssh/#comment-135036)
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options override
the
# default value.
Si, pero por ejemplo ¿cómo sabemos que estamos usando solo la versión 2 del
protocolo? Porque bien podríamos estar usando la 1 y la 2 al mismo tiempo.
Como bien dice la última línea, descomentar esta opción por ejemplo,
sobrescribe la opción por defecto. Si estamos usando la versión 2 por defecto,
bien, si no, pues la usamos SI o SI
5/8
Responder (/buenas-practicas-openssh/?
replytocom=135036#respond)
Sli
9 julio, 2015 6:08 PM (http://blog.desdelinux.net/buenas-practicas-openssh/#comment-
135028)
Muy buen articulo, conocia varias cosas pero una cosa que nunca me queda claro es el
uso de llaves, realmente que son y que ventajas tiene, si uso llaves puedo usar
contraseñas??? en caso afirmativo por que aumenta la seguridad y si no como hago para
acceder desde otro pc??
4/8
Responder (/buenas-practicas-openssh/?replytocom=135028#respond)
Adian
10 julio, 2015 5:27 PM (http://blog.desdelinux.net/buenas-practicas-openssh/#comment-
135040)
6/8
Responder (/buenas-practicas-openssh/?replytocom=135040#respond)
Franksanabria
17 julio, 2015 12:00 PM (http://blog.desdelinux.net/buenas-practicas-openssh/#comment-
135164)
7/8
Responder (/buenas-practicas-openssh/?replytocom=135164#respond)
Azulejo
18 julio, 2015 3:19 PM (http://blog.desdelinux.net/buenas-practicas-openssh/#comment-
135212)
Quiero probar algunas cosas de aquí, varias ya las he probado gracias a la Wiki de Arch,
otras por pereza o desconocimiento no. Lo guardaré para cuando eche a andar mi RPi
8/8
Responder (/buenas-practicas-openssh/?replytocom=135212#respond)
REDES SOCIALES
Un montón de lectores
Vía RSS (http://feeds.feedburner.com/usemoslinux) o E-mail (http://feedburner.google.com/fb/a/mailverify?
uri=UsemosLinux)
17.227 seguidores
(https://twitter.com/usemoslinux) Síguenos en Twitter (https://twitter.com/usemoslinux)
(https://www.facebook.com/pages/Usemos-Linux/347354768534?ref=hl)
14.876 seguidores
Síguenos en Facebook (https://www.facebook.com/pages/Usemos-Linux/347354768534?ref=hl)
(https://plus.google.com/u/0/b/118183294036119965234/118183294036119965234/posts/p/pub)
7.325 seguidores
Síguenos en Google+ (https://plus.google.com/118183294036119965234/posts)
ACCESO
CATEGORÍAS
Categorías
Elegir categoría
PREMIOS
(http://www.portalprogramas.com/software-libre/premios/proyecto/Desde-Linux)
ÚLTIMOS COMENTARIOS
Koprotk { Carlota, realmente no sé como ayudarte, si intentaste este tutoriales, deberás eliminar todos los
cambios, este tutorial es sólo para el ipod Nano 6G por... } – jul 19, 10:10 AM
(http://blog.desdelinux.net/sincronizar-ipod-nano-6g-banshee/#comment-135225)
carlos { hola mi esposa tiene ese celu pero con android. si se lo toco me mata...¿ no sabes si se puede
instalar con esos pasos en... } – jul 19, 8:40 AM (http://blog.desdelinux.net/firefox-os-2-0-instalacion-alcatel-
one-touch-fire/#comment-135223)
SynFlag { Excelente observación } – jul 19, 5:19 AM (http://blog.desdelinux.net/opinion-un-ano-con-
calculate-linux/#comment-135222)
SynFlag { Si, mucho, recuerdo allá por la epoca de un duron 1800 que tenía, la diferencia entre usar (la
distro que sea) como venia y usarla... } – jul 19, 5:14 AM (http://blog.desdelinux.net/opinion-un-ano-con-
calculate-linux/#comment-135221)
xxxtonixxx { Muuuuy buen artículo! Este me lo guardo para favoritos, estaría bien corregir lo que está mal e
incluso expandirlo con más contenido. Un aplauso por... } – jul 19, 4:34 AM (http://blog.desdelinux.net/teoria-
de-bash/#comment-135220)
luigi giovani { como entro a línea del kernel en el grub y añado esto: acpi_backlight=vendor, espero me
ayuden gracias. } – jul 18, 10:04 PM (http://blog.desdelinux.net/how-to-ajustar-el-brillo-de-un-portatil-en-
linux/#comment-135219)
(http://blog.desdelinux.net/kali-linux-suite-seguridad-informatica/)
Kali Linux, una gran suite de seguridad informática
(http://blog.desdelinux.net/kali-linux-suite-seguridad-informatica/)
(http://blog.desdelinux.net/tutorial-instalar-paquetes-tar-gz-y-tar-bz2/)
Tutorial: Instalar paquetes .tar.gz y .tar.bz2
(http://blog.desdelinux.net/tutorial-instalar-paquetes-tar-gz-y-tar-bz2/)
(http://blog.desdelinux.net/que-hacer-despues-de-instalar-ubuntu-14-04-trusty-tahr/)
Qué hacer después de instalar Ubuntu 14.04 Trusty Tahr
(http://blog.desdelinux.net/que-hacer-despues-de-instalar-ubuntu-14-
04-trusty-tahr/)
(http://blog.desdelinux.net/muere-monstruo-muere/)
Muere, Monstruo, Muere (http://blog.desdelinux.net/muere-monstruo-
muere/)
(http://blog.desdelinux.net/mas-de-400-comandos-para-gnulinux-que-deberias-conocer/)
Tips: Más de 400 comandos para GNU/Linux que deberías conocer :D
(http://blog.desdelinux.net/mas-de-400-comandos-para-gnulinux-que-
deberias-conocer/)
(http://blog.desdelinux.net/guia-de-instalacion-de-arch-linux-2014/)
Guía de instalación de Arch Linux 2015
(http://blog.desdelinux.net/guia-de-instalacion-de-arch-linux-2014/)
(http://blog.desdelinux.net/teoria-de-bash/)
Teoría de Bash (http://blog.desdelinux.net/teoria-de-bash/)
(http://blog.desdelinux.net/permisos-basicos-en-gnulinux-con-chmod/)
Permisos básicos en GNU/Linux con chmod
(http://blog.desdelinux.net/permisos-basicos-en-gnulinux-con-chmod/)
(http://blog.desdelinux.net/que-hacer-despues-de-instalar-linux-mint-17-qiana/)
Qué hacer después de instalar Linux Mint 17 Qiana
(http://blog.desdelinux.net/que-hacer-despues-de-instalar-linux-mint-
17-qiana/)
(http://blog.desdelinux.net/comandos-para-conocer-el-sistema-identificar-hardware-y-
algunas-configuraciones-de-software/)
Comandos para conocer el sistema (identificar hardware y algunas
configuraciones de software) (http://blog.desdelinux.net/comandos-
para-conocer-el-sistema-identificar-hardware-y-algunas-
configuraciones-de-software/)
DEBATES EN DESDELINUX
(http://ask.desdelinux.net)
(http://foro.desdelinux.net)
NOSOTROS
Hoy día somos uno de los blogs más populares de habla hispana sobre Linux y Software Libre. En nuestras páginas vas a
encontrar tutoriales, reseñas y artículos de calidad sin anuncios molestos. Si quieres participar o sugerirnos tu idea, entérate
cómo hacerlo.
SÍGUENOS
Puede suscribirse por correo o seguirnos en nuestras redes sociales
Correo electrónico...
Enviar
(https://www.facebook.com/pages/Usemos-
(https://twitter.com/usemoslinux)
(https://plus.google.com/communities/110075815123635300569)
(http://vimeo.com/groups/210882)
(mailto:staff@desdelinux.net)
(http://blog.desdelinux.net/feed/)
Linux/347354768534?
fref=ts)
Todo el contenido de DesdeLinux.net se comparte bajo licencia CC-BY-SA / Hospedado en GNUTransfer (http://gnutransfer.com) | Ir Arriba