MENU

(/)

MENU

NOSOTROS (HTTP://BLOG.DESDELINUX.NET/NOSOTROS/) PARTICIPA (HTTP://BLOG.DESDELINUX.NET/GUIA-REDACTORES-EDITORES/)

GUÍA PARA PRINCIPIANTES (HTTP://BLOG.DESDELINUX.NET/GUIA-PARA-PRINCIPIANTES-EN-LINUX/)
APLICACIONES (HTTP://BLOG.DESDELINUX.NET/PROGRAMAS/) COMUNIDADES (HTTP://BLOG.DESDELINUX.NET/COMUNIDADES/)
DISTRIBUCIONES (HTTP://BLOG.DESDELINUX.NET/DISTRIBUCIONES/)
DONACIONES (HTTP://BLOG.DESDELINUX.NET/DESDELINUX-NECESITA-DE-TU-AYUDA-PARA-PODER-SEGUIR-ONLINE/)

Buscar

Enviar

BUENAS PRÁCTICAS CON OPENSSH

(HTTP://BLOG.DESDELINUX.NET/BUENAS-PRACTICAS-
OPENSSH/)
 elav (http://blog.desdelinux.net/author/elav/)  Publicado hace 1 semana  Modificado hace 1 semana
 8 (http://blog.desdelinux.net/buenas-practicas-openssh/#comments)  4650
 consejos (http://blog.desdelinux.net/tag/consejos/), ssh (http://blog.desdelinux.net/tag/ssh/), Tips
(http://blog.desdelinux.net/tag/tips/)

OpenSSH (Open Secure Shell) es un conjunto de aplicaciones que permiten realizar comunicaciones
cifradas a través de una red, usando el protocolo
(https://es.wikipedia.org/wiki/Protocolo_(inform%C3%A1tica)) SSH (https://es.wikipedia.org/wiki/SSH).
Fue creado como una alternativa libre y abierta al programa Secure Shell
(https://es.wikipedia.org/wiki/Secure_Shell), que es software propietario. « Wikipedia
(https://es.wikipedia.org/wiki/OpenSSH).

Puede que algunos usuarios piensan que las buenas prácticas solo deben ser aplicadas en los
servidores y no es así. Muchas distribuciones GNU/Linux incluyen OpenSSH por defecto y hay algunas
cosas que debemos tener en cuenta.

SEGURIDAD
Estos son los 6 puntos más importantes a tener en cuenta a la hora de configurar SSH:

1. Usar una contraseña fuerte.

2. Cambiar el puerto por defecto de SSH.
3. Usar siempre la versión 2 del protocolo SSH.
4. Desactivar el acceso como root.
5. Limitar el acceso de los usuarios.
6. Usar autenticación mediante llaves.
7. Otras opciones

UNA CONTRASEÑA FUERTE

Un buen password es aquel que contiene caracteres alfanuméricos o especiales, espacios, mayúsculas
y minúsculas… etc. Acá en DesdeLinux hemos mostrado varios métodos para generar buenas
contraseñas. Pueden visitar este artículo (http://blog.desdelinux.net/makepasswd-genera-contrasenas-
aleatorias-seguras-y-fiables/) y este otro (http://blog.desdelinux.net/como-crear-contrasenas-seguras-
con-pwgen/).

CAMBIAR EL PUERTO POR DEFECTO

El puerto por defecto de SSH es el 22. Para cambiarlo lo único que debemos hacer es editar el
fichero /etc/ssh/sshd_config. Buscamos la línea que dice:

#Port 22

la descomentamos y cambiamos el 22 por otro número.. por ejemplo:

Port 7022

Para saber los puertos que no estamos usando en nuestro ordenador/servidor podemos ejecutar en el
terminal:

$ netstat ‐ntap

Ahora para acceder a nuestro ordenador o servidor debemos hacerlo con la opción -p de la siguiente
forma:

$ ssh ‐p 7022 usuario@servidor

USAR PROTOCOLO 2
Para asegurarnos de que estamos usando la versión 2 del protocolo SSH, debemos editar el fichero
/etc/ssh/sshd_config y buscar la línea que dice:
 # Protocol 2

Lo descomentamos y reiniciamos el servicio SSH.

NO PERMITIR ACCESO COMO ROOT

Para evitar que el usuario root pueda acceder de forma remota por SSH, buscamos en el
fichero/etc/ssh/sshd_config la línea:

#PermitRootLogin no

y la descomentamos. Creo que vale aclarar que antes de hacer esto debemos asegurarnos que nuestro
usuario tenga los permisos necesarios para realizar tareas administrativas.

LIMITAR ACCESO POR USUARIOS

Tampoco está de mas permitir el acceso vía SSH solo a determinados usuarios de confianza, por lo que
volvemos al fichero /etc/ssh/sshd_config y añadimos la línea:

AllowUsers elav usemoslinux kzkggaara

Donde evidentemente, los usuarios elav, usemoslinux y kzkggaara son los que podrán acceder..

USAR AUTENTICACIÓN MEDIANTE LLAVES

Aunque este método es el más recomendado, debemos tener especial cuidado pues accederemos al
servidor sin poner la contraseña. Esto significa que si un usuario logra entrar a nuestra sesión o nos
roban el ordenador, podemos estar en problemas. No obstante, veamos como hacerlo.

Lo primero es crear un par de llaves (pública y privada):

ssh‐keygen ‐t rsa ‐b 4096

Luego le pasamos nuestra llave al ordenador/servidor:

ssh‐copy‐id ‐i ~/.ssh/id_rsa.pub elav@200.8.200.7

Por último tenemos que tener descomentada, en el fichero /etc/ssh/sshd_config la línea:

AuthorizedKeysFile .ssh/authorized_keys

OTRAS OPCIONES
 Aporte de Yukiteru

Podemos reducir el tiempo de espera en el que un usuario puede loguearse satisfactoriamente al

sistema a 30 segundos

LoginGraceTime 30

Para evitar ataques a ssh por medio de TCP Spoofing, dejando activo el alive encriptado del lado de ssh
por un máximo de 3 minutos, podemos activar estas 3 opciones.

TCPKeepAlive no
ClientAliveInterval 60
ClientAliveCountMax 3

Deshabilitar el uso de archivos rhosts o shosts, los cuales por razones de seguridad son instados a no
utilizarse.

IgnoreRhosts yes
IgnoreUserKnownHosts yes
RhostsAuthentication no
RhostsRSAAuthentication no

Chequear los permisos efectivos del usuario durante el login.

StrictModes yes

Activa la separación de privilegios.

UsePrivilegeSeparation yes

CONCLUSIONES:
Haciendo estos pasos podremos añadir un extra de seguridad a nuestros ordenadores y servidores,
pero nunca debemos olvidar que hay un factor importante: lo que hay entre la silla y el teclado. Es por
ello que les recomiendo la lectura de este artículo (http://blog.desdelinux.net/pasos-para-asegurar-
nuestro-vps/).

Fuente: HowToForge (https://www.howtoforge.com/tutorial/openssh-security-best-practices/)

Comparte con el mundo!!

6 98 24 39 1

ARTÍCULOS RELACIONADOS
Convirtiendo a un Windowser en linuxero: ¿Cómo hacerlo? (http://blog.desdelinux.net/convirtiendo-a-
un-windowser-en-linuxero-como-hacerlo/)
Tips para escoger una distribución de GNU/Linux (http://blog.desdelinux.net/tips-para-escoger-una-
distribucion-de-gnulinux/)

elav: Blog Personal (http://elav.desdelinux.net) / Twitter (http://www.twitter.com/elavdeveloper) / G+

(https://plus.google.com/u/0/118419653942662184045/posts) / Usuario de ArchLinux. Informático, melómano, blogger y
diseñador web. Administrador y Fundador de DesdeLinux.net.

Artículos (http://blog.desdelinux.net/author/elav/)

DEJA UN COMENTARIO

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Nombre *

Correo electrónico *

Web

Comentario

Publicar comentario

Notificarme los nuevos comentarios por correo electrónico. También puedes suscribirte
(http://blog.desdelinux.net/comment-subscriptions?srp=62525&srk=&sra=s) sin comentar.

Recibir un email con los siguientes comentarios a esta entrada.

Recibir un email con cada nueva entrada.

8 COMENTARIOS EN “BUENAS PRÁCTICAS CON OPENSSH”

 Yukiteru
9 julio, 2015 4:30 PM (http://blog.desdelinux.net/buenas-practicas-openssh/#comment-
135022)

Excelente post @elav y agrego unas cositas interesantes:

LoginGraceTime 30

Esto nos permite reducir el tiempo de espera en el que un usuario puede loguearse
satisfactoriamente al sistema a 30 segundos

TCPKeepAlive no
ClientAliveInterval 60
ClientAliveCountMax 3

Estas tres opciones son bastante útiles para evitar ataques a ssh por medio de TCP
Spoofing, dejando activo el alive encriptado del lado de ssh por un maximo de 3 minutos.

IgnoreRhosts yes
IgnoreUserKnownHosts yes
RhostsAuthentication no
RhostsRSAAuthentication no

Deshabilita el uso de archivos rhosts o shosts, los cuales por razones de seguridad son
instados a no utilizarse.

StrictModes yes

Esta opción es usada para chequear los permisos efectivos del usuario durante el login.

UsePrivilegeSeparation yes

Activa la separación de privilegios.

1/8
Responder (/buenas-practicas-openssh/?replytocom=135022#respond)

elav (http://www.desdelinux.net)
9 julio, 2015 5:02 PM (http://blog.desdelinux.net/buenas-practicas-
________openssh/#comment-135024)

Pues en un rato edito el post y lo añado al post

 2/8
Responder (/buenas-practicas-openssh/?
replytocom=135024#respond)

Eugenio (http://www.etccrond.es/)
9 julio, 2015 5:30 PM (http://blog.desdelinux.net/buenas-practicas-openssh/#comment-
135025)

Descomentar para no cambiar la línea es redundante. Las líneas comentadas muestran el

valor por defecto de cada opción (leed la aclaración al principio del propio fichero). El
acceso a root está desactivado por defecto, etc. Por tanto, descomentarla no tiene
absolutamente ningún efecto.

3/8
Responder (/buenas-practicas-openssh/?replytocom=135025#respond)

elav (http://www.desdelinux.net)
10 julio, 2015 7:26 AM (http://blog.desdelinux.net/buenas-practicas-
________openssh/#comment-135036)

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options override
the
# default value.

Si, pero por ejemplo ¿cómo sabemos que estamos usando solo la versión 2 del
protocolo? Porque bien podríamos estar usando la 1 y la 2 al mismo tiempo.
Como bien dice la última línea, descomentar esta opción por ejemplo,
sobrescribe la opción por defecto. Si estamos usando la versión 2 por defecto,
bien, si no, pues la usamos SI o SI

Gracias por comentario

5/8
Responder (/buenas-practicas-openssh/?
replytocom=135036#respond)
 Sli
9 julio, 2015 6:08 PM (http://blog.desdelinux.net/buenas-practicas-openssh/#comment-
135028)

Muy buen articulo, conocia varias cosas pero una cosa que nunca me queda claro es el
uso de llaves, realmente que son y que ventajas tiene, si uso llaves puedo usar
contraseñas??? en caso afirmativo por que aumenta la seguridad y si no como hago para
acceder desde otro pc??

4/8
Responder (/buenas-practicas-openssh/?replytocom=135028#respond)

Adian
10 julio, 2015 5:27 PM (http://blog.desdelinux.net/buenas-practicas-openssh/#comment-
135040)

Saludos, he instalado debian 8.1 y no logro conectarme desde mi pc de windows a debian

con el WINSCP, sera que tengo que usar el protocolo 1 ?? alguna ayuda.. gracias
Adian

6/8
Responder (/buenas-practicas-openssh/?replytocom=135040#respond)

Franksanabria
17 julio, 2015 12:00 PM (http://blog.desdelinux.net/buenas-practicas-openssh/#comment-
135164)

Les puede interesar este video sobre openssh https://m.youtube.com/watch?

v=uyMb8uq6L54 (https://m.youtube.com/watch?v=uyMb8uq6L54)

7/8
Responder (/buenas-practicas-openssh/?replytocom=135164#respond)

Azulejo
18 julio, 2015 3:19 PM (http://blog.desdelinux.net/buenas-practicas-openssh/#comment-
135212)
 Quiero probar algunas cosas de aquí, varias ya las he probado gracias a la Wiki de Arch,
otras por pereza o desconocimiento no. Lo guardaré para cuando eche a andar mi RPi

8/8
Responder (/buenas-practicas-openssh/?replytocom=135212#respond)

REDES SOCIALES

Un montón de lectores
Vía RSS (http://feeds.feedburner.com/usemoslinux) o E-mail (http://feedburner.google.com/fb/a/mailverify?
uri=UsemosLinux)
17.227 seguidores
(https://twitter.com/usemoslinux) Síguenos en Twitter (https://twitter.com/usemoslinux)

(https://www.facebook.com/pages/Usemos-Linux/347354768534?ref=hl)
14.876 seguidores
Síguenos en Facebook (https://www.facebook.com/pages/Usemos-Linux/347354768534?ref=hl)

(https://plus.google.com/u/0/b/118183294036119965234/118183294036119965234/posts/p/pub)
7.325 seguidores
Síguenos en Google+ (https://plus.google.com/118183294036119965234/posts)

ACCESO

Panel de Control (http://blog.desdelinux.net/wp-admin)

CATEGORÍAS

Categorías

Elegir categoría

PREMIOS

(http://www.portalprogramas.com/software-libre/premios/proyecto/Desde-Linux)
ÚLTIMOS COMENTARIOS

Koprotk { Carlota, realmente no sé como ayudarte, si intentaste este tutoriales, deberás eliminar todos los
cambios, este tutorial es sólo para el ipod Nano 6G por... } – jul 19, 10:10 AM
(http://blog.desdelinux.net/sincronizar-ipod-nano-6g-banshee/#comment-135225)
carlos { hola mi esposa tiene ese celu pero con android. si se lo toco me mata...¿ no sabes si se puede
instalar con esos pasos en... } – jul 19, 8:40 AM (http://blog.desdelinux.net/firefox-os-2-0-instalacion-alcatel-
one-touch-fire/#comment-135223)
SynFlag { Excelente observación } – jul 19, 5:19 AM (http://blog.desdelinux.net/opinion-un-ano-con-
calculate-linux/#comment-135222)
SynFlag { Si, mucho, recuerdo allá por la epoca de un duron 1800 que tenía, la diferencia entre usar (la
distro que sea) como venia y usarla... } – jul 19, 5:14 AM (http://blog.desdelinux.net/opinion-un-ano-con-
calculate-linux/#comment-135221)
xxxtonixxx { Muuuuy buen artículo! Este me lo guardo para favoritos, estaría bien corregir lo que está mal e
incluso expandirlo con más contenido. Un aplauso por... } – jul 19, 4:34 AM (http://blog.desdelinux.net/teoria-
de-bash/#comment-135220)
luigi giovani { como entro a línea del kernel en el grub y añado esto: acpi_backlight=vendor, espero me
ayuden gracias. } – jul 18, 10:04 PM (http://blog.desdelinux.net/how-to-ajustar-el-brillo-de-un-portatil-en-
linux/#comment-135219)

LO MÁS LEÍDO ÚLTIMAMENTE

(http://blog.desdelinux.net/kali-linux-suite-seguridad-informatica/)
Kali Linux, una gran suite de seguridad informática
(http://blog.desdelinux.net/kali-linux-suite-seguridad-informatica/)

(http://blog.desdelinux.net/tutorial-instalar-paquetes-tar-gz-y-tar-bz2/)
Tutorial: Instalar paquetes .tar.gz y .tar.bz2
(http://blog.desdelinux.net/tutorial-instalar-paquetes-tar-gz-y-tar-bz2/)

(http://blog.desdelinux.net/que-hacer-despues-de-instalar-ubuntu-14-04-trusty-tahr/)
Qué hacer después de instalar Ubuntu 14.04 Trusty Tahr
(http://blog.desdelinux.net/que-hacer-despues-de-instalar-ubuntu-14-
04-trusty-tahr/)

(http://blog.desdelinux.net/muere-monstruo-muere/)
Muere, Monstruo, Muere (http://blog.desdelinux.net/muere-monstruo-
muere/)

(http://blog.desdelinux.net/mas-de-400-comandos-para-gnulinux-que-deberias-conocer/)
 Tips: Más de 400 comandos para GNU/Linux que deberías conocer :D
(http://blog.desdelinux.net/mas-de-400-comandos-para-gnulinux-que-
deberias-conocer/)

(http://blog.desdelinux.net/guia-de-instalacion-de-arch-linux-2014/)
Guía de instalación de Arch Linux 2015
(http://blog.desdelinux.net/guia-de-instalacion-de-arch-linux-2014/)

(http://blog.desdelinux.net/teoria-de-bash/)
Teoría de Bash (http://blog.desdelinux.net/teoria-de-bash/)

(http://blog.desdelinux.net/permisos-basicos-en-gnulinux-con-chmod/)
Permisos básicos en GNU/Linux con chmod
(http://blog.desdelinux.net/permisos-basicos-en-gnulinux-con-chmod/)

(http://blog.desdelinux.net/que-hacer-despues-de-instalar-linux-mint-17-qiana/)
Qué hacer después de instalar Linux Mint 17 Qiana
(http://blog.desdelinux.net/que-hacer-despues-de-instalar-linux-mint-
17-qiana/)

(http://blog.desdelinux.net/comandos-para-conocer-el-sistema-identificar-hardware-y-
algunas-configuraciones-de-software/)
Comandos para conocer el sistema (identificar hardware y algunas
configuraciones de software) (http://blog.desdelinux.net/comandos-
para-conocer-el-sistema-identificar-hardware-y-algunas-
configuraciones-de-software/)

DEBATES EN DESDELINUX

(http://ask.desdelinux.net)
 (http://foro.desdelinux.net)

NOSOTROS
Hoy día somos uno de los blogs más populares de habla hispana sobre Linux y Software Libre. En nuestras páginas vas a
encontrar tutoriales, reseñas y artículos de calidad sin anuncios molestos. Si quieres participar o sugerirnos tu idea, entérate
cómo hacerlo.

SÍGUENOS
Puede suscribirse por correo o seguirnos en nuestras redes sociales

Correo electrónico...

Enviar

     
(https://www.facebook.com/pages/Usemos-
(https://twitter.com/usemoslinux)
(https://plus.google.com/communities/110075815123635300569)
(http://vimeo.com/groups/210882)
(mailto:staff@desdelinux.net)
(http://blog.desdelinux.net/feed/)
Linux/347354768534?
fref=ts)

Todo el contenido de DesdeLinux.net se comparte bajo licencia CC-BY-SA / Hospedado en GNUTransfer (http://gnutransfer.com) | Ir Arriba