Instalación y configuración SSH son las siglas de Secure SHell. Lo que te ofrece es una consola en un ordena dor remoto con los privilegios que tenga la cuenta con la que conectes. Se trata de un protocolo de acceso remoto que permite copiar datos de forma segura, pasa r datos de cualquier aplicación mediante tunneling con SSH. Y todo esto con encrip tación de datos. Trabaja por el puerto 22, cosa que no hay que olvidar a la hora d e abrirlo en el firewall de Mandriva. Los archivos de configuración que se ocupan de SHH, son: - sshd_config (Para los servidores) - ssh_config (Para los clientes) Nosotros sólo necesitamos retocar el primero. Puede ser que venga ya instalado y solo tengáis que ir al Centro de Control de Man driva para abrir los puertos, pero por si no lo estuviera, como root ejecutamos: # urpmi openssh Esto automáticamente nos instalará las dependencias openssh-clients y openssh-server . Una vez instalado pasamos a la configuración del sistema. En el archivo sshd_con fig, que se encuentra en /etc/ssh/, encontraremos un apartado con lineas comenta das y otras descomentadas tal que así: Archivo de configuración de SSH La parte descomentada es la que se ejecutará de forma predeterminada. Ahora nosotr os vamos a configurar el archivo para tener unas mínimas condiciones de seguridad en cuanto a proteger el acceso por usuario. El acceso por clave pública/privada lo veremos más adelante. Cambiaremos el puerto para evitar los robots que atacan directamente al de SSH. Esto no quita que el caco pueda intentar averiguar “el portal” si sabe cómo hacerlo, p ero al menos, le ponemos impedimentos. También hay scripts que atacan directamente el puerto 22, por lo que el cambio de puerto es algo obligatorio. Para esto pon dremos la variables siguientes en el archivo anterior: #Cambiamos el puerto Port 9918
#Especificamos que use el protocolo versión 2
Protocol 2 Respecto a las opciones de autentificación, encontramos dos. La primera es el número de segundos que tendrá el usuario remoto para hacer login en tu máquina. Como no de beríamos tardar mucho en hacer login si sabemos la cuenta y la password, vale la p ena poner un valor pequeño. De esta forma evitamos ciertos scripts que se aprovech an de ese tiempo. LoginGraceTime 15 Otra opción fundamental que tenemos que desactivar es permitir el acceso en modo “ro ot”. Si queremos usar comandos de administrador, o instalar algun paquete o cualqu ier cosa para la que necesitemos ese tipo de permisos, lo podemos hacer mas tard e estando ya dentro del sistema remoto, con el comando “su”. PermitRootLogin no También podéis señalar con el dedo las cuentas que tienen permitido el uso SSH (AllowU sers). Esto es muy útil para restringir el uso de SSH en el acceso a nuestra cuant a a quien nosotros queramos. Además de restringir el acceso de esta forma, también s e puede hacer mediante la IP desde donde nos vamos a conectar. AllowUsers mandriva amigo AllowUsers nuestra_cuenta cuenta_amigo@IP_amigo Quien intente conectar debe acordarse de su login y password, por lo que es tont ería darle un número grande de intentos. En principio con dos son más que suficientes. Si al segundo intento no lo ha conseguido se cortará la conexión SSH. Siempre se pu ede volver a conectar y reintentarlo, pero así nos quitamos de encima ciertos scri pts que intentan encontrar el login por fuerza bruta a base de ensayo y error. MaxAuthTries 2 Otra opción interesante es marcar un máximo de conexiones simultáneas. En nustro caso al ser 5 personas en el grupo de SO, vamos a configurarlo para poder entrar todo s al mismo tiempo. MaxStartups 5 A hora solo queda reiniciar el servicio ssh para que los cambio se apliquen: # service sshd restartSSH tiene infinitas opciones de configuración y de ejecución, si queréis ampliar más es conveniente mirar el manual (# man ssh). Acceso por clave pública/privada La generación de una pareja de claves pública-privada se realiza ejecutando en el cl iente ssh-keygen. Nos dará la opcion de crear una palabra de paso aunque en caso d e pulsar intro nos creará una en blanco, la cual no nos será requerida cuando acceda mos. # ssh-keygen -t rsa Generación de claves RSA Las claves se almacenan por defecto en ~/.ssh/, quedando el directorio así: Generación de claves RSA - Caputra 2 Los ficheros id_rsa e id_rsa.pub contienen respectivamente las claves privada y pública. El fichero known_hosts contiene la lista de las claves públicas de las máquin as reconocidas. Ahora se debe copiar la clave pública al fichero ~/.ssh/authorized_keys de cada us uario que vamos a usar, dentro del servidor al que queremos acceder. Para ello s e utiliza el comando ssh-copy-id: # ssh-copy-id -i ~/.ssh/id_rsa.pub user@machine1 # ssh-copy-id -i ~/.ssh/id_rsa.pub user@machine2 ssh-copy-id es un script que se conecta a la máquina y copia el archivo (indicado por la opción -i) en ~/.ssh/authorized_keys, y ajusta los permisos a los valores a decuados. Ahora la conexión debería funcionar sin necesidad de introducir la clave. Si no es a sí es posible que sea un problema de permisos en los ficheros. Los permisos correc tos deben ser similares a estos: # chmod go-w $HOME $HOME/.ssh # chmod 600 $HOME/.ssh/authorized_keys Para poder acceder al servidor desde cualquier cliente, debemos copiar los fiche ros id_rsa e id_rsa.pub dentro de ~/.ssh/ de la cuenta de usuario de cada client e desde el que queramos realizar la conexión hacia el servidor. Además de esto, en e l archivo sshd_config debemos habilitar las opciones de acceso mediante clave pu blica/privada: RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys SCP CP viene junto a SSH, y se trata de una herramienta para transmitir archivos y d irectorios entre ordenadores de forma remota. La sintaxis es muy simple teniendo las mismas opciones que SSH, las cuales hereda. El modo de empleo sería el siguiente en caso de que queramos copiar archivos de nu estro ordenador al remoto: # scp archivo usuario@servidor.com:ruta Y para copiar a la inversa, desde el computador remoto al tuyo, simplemente tien es que invertir el orden de los elementos: # scp usuario@servidor.com:ruta/archivo ruta_local Para mandar carpetas completas se puede emplear el siguiente comando # scp -r carpetaSO/ usuario@host:/carpeta_padre La forma inversa sería exactamente igual a la de los archivos, solo que cambiaríamos el susodicho por una carpeta: # scp -r usuario@host:/carpeta_padre/carpetaSO Si queremos copiar el contenido de la carpeta pero no la misma, la sintaxis es: # scp carpetaSO/* usuario@host:/carpeta_padre/carpetaSO Hay que decir que por defecto la ruta a la que copia es en /home/usuario, así que en caso de querer copiar archivos allí podemos omitir la ruta, pero no los dos pun tos: # scp fichero.txt usuario@host: SFTP El protocolo de transferencia de archivos SFTP es un protocolo de red que propor ciona la transferencia de archivos y la funcionalidad de manipulación de datos fia bles sobre cualquier secuencia ya que los datos circulan cifrados por la red. Se utiliza normalmente con SSH a fin de asegurar la transferencia de archivos. # sftp usuario@host Implementa muchas de las opciones que tenemos por defecto en consola. Para copia r datos tenemos el método put, y para importar tenemos get: # get [-P] /ruta/remota/del/archivo /ruta/local/del/archivo # put [-P] /ruta/local/del/archivo /ruta/remota/del/archivo -P Cuando esta opción está presente, copiará todos los permisos y accesos del archivo. ‹ Cómo configurar CRON para programar tareas arriba Cómo configurar Wake on Lan / Wan en Mandriva Linux › * Blog de XescoMM * Entra a tu cuenta o crea una para poder comentar. # Enlace permanente Comentarios 2 comentarios escritos Opciones de visualización de comentarios Seleccione la forma que desee de mostrar los comentarios y haga clic en «Guardar o pciones» para activar los cambios. Comentarios sobre sftp Buen manual. Sólo un par de apostillas. 1) Todos los clientes ftp que yo he usado soportan también el protocolo sftp. Los administradores de archivos de KDE (Dolphin) y de GNOME también los soportan. 2) Si has cambiado el puerto de escucha al demonio ssh, hay que indicarlo cuando se use sftp. En el ejemplo, pusiste Port 9918, luego hay que escribir en consol a sftp usuario@host:9918 Si se pone otro puerto, pues se pone el adecuado. Si se usa Dolphin, por ejemplo , en la barra de direcciones hay que poner sfp://usuario@maquina:9918 MOT -- MOT Gravatar de motitos Escrito por motitos el 4 Marzo, 2009 - 13:44 * Entra a tu cuenta o crea una para poder comentar. SFTP en puerto diferente Muy buen post. Desde consola si te quieres conectar con otro puerto sftp -o Port=9918 usuario@host -- Gravatar de garchacesaug Escrito por garchacesaug el 17 Junio, 2009 - 18:42 * Entra a tu cuenta o crea una para poder comentar. Opciones de visualización de comentarios Seleccione la forma que desee de mostrar los comentarios y haga clic en «Guardar o pciones» para activar los cambios. Feed Feed