Asegurar SSH

De MEPIS Documentation Wiki

Se puede asegurar SSH siguiendo los siguientes pasos:

Tabla de contenidos

1 Permitir que sólo direcciones IP específicas se conecten al ordenador
2 Permitir que sólo usuarios específicos se conecten al ordenador
3 Fijar el número máximo de intentos
4 Otras mejoras de seguridad

Permitir que sólo direcciones IP específicas se conecten al ordenador

Permitir sólo direcciones IP específicas en la red de área local. Por ejemplo, para que todas las direcciones en el rango 192.168.0.x se puedan conectar pero ninguna más, se permitiría el acceso haciendo lo siguiente: Editar /etc/hosts.allow y añadir la siguiente línea:

sshd: 192.168.0.0/255.255.255.0

Para luego denegar el acceso desde cualquier otra dirección añadiendo la a /etc/hosts.deny la siguiente línea:

sshd: ALL

Si no se puede restringir el acceso desde otros ordenadores (se necesita conectarse desde equipos al azar en distintas redes) es altamente recomendable instalar fail2ban. This program bans IPs that cause multiple authentication errors (by adding those IP addresses to /etc/hosts.deny)

[editar]

Permitir que sólo usuarios específicos se conecten al ordenador

¡Muy importante! No permitir conexiones como supersuario. Fijar /etc/ssh/sshd_config:

PermitRootLogin no

También se puede hacer lo siguiente en el servidor de ssh para restringir el acceso a usuarios concretos, añadir en /etc/ssh/sshd_config:

AllowUsers nombredeusuario

[editar]

Fijar el número máximo de intentos

Con esta opción se puede fijar el número máximo de intentos de autenticación, eliminando la posibilidad de ataques de fuerza bruta, sin embargo esto posibilita ataques DOS.

MaxAuthTries 3

[editar]

Otras mejoras de seguridad

Buscar la entrada Protocol y eliminar 1, permitiendo así sólo el protocolo ssh2:

Protocol 2

Ejecutar sshd en un puerto distinto, editar /etc/ssh/sshd_config:

Cambiar Port = 22 por un puerto que no se use. Se puede tener que especificar el nuevo puerto al conectar de la siguiente manera:

ssh nombredelequipo -p númerodepuerto

No hay que olvidarse de desbloquear el nuevo puerto en la configuración del Cortafuegos.

Instalar los paquetes denyhosts o fail2ban, estos programas monitorizan las conexiones ssh y bloquean las direcciones IP que intentan ataques de fuerza bruta contra la cuenta.

Seguridad | Conocimientos generales | Portada

Obtenido de "http://www.mepis.org/docs/es/index.php/Asegurar_SSH"

Categorías: Seguridad | Redes | Buenas prácticas