OpenSSH (o Shell Seguro)
Se ha
convertido en el estándar para el acceso remoto, reemplazando al
protocolo telnet. SSH ha hecho que los protocolos como telnet sean
redundantes, en su mayoría, por el hecho de que la conexión es
encriptada y las contraseñas no son enviadas en texto plano para que
todos la puedan ver. De todas maneras, una instalación por defecto de
ssh no es perfecta, y cuando corremos un servidor ssh, hay algunos pasos
simples que pueden endurecer dramáticamente una instalación.
Usar contraseñas Fuertes
Si
usted está corriendo ssh y se encuentra expuesto al mundo exterior, una
de las primeras cosas que podrá notar serán los intentos de los
hackers tratando de acceder para adivinar su nombre de
usuario/contraseña. Típicamente un hacker escaneará el puerto 22 (el
puerto por defecto por el cual ssh escucha) para
encontrar
máquinas que estén corriendo ssh, y entonces intentarán un ataque de
fuerza-bruta contra ésta. Con contraseñas fuertes en su lugar,
felizmente cualquier ataque será registrado y notificado antes de que
pueda tener éxito. Si usted no está utilizando contraseñas fuertes,
trate de escoger combinaciones que contengan:
8 Caracteres como mínimo
Mezcle letras mayúsculas y minúsculas
Mezcle letras y números
Use caracteres no alfabéticos (ej: caracteres especiales como ! " £ $ ) (% ^ etc.)
Los
beneficios de una contraseña fuerte no son específicos de SSH, pero
tienen fuerte impacto en todos los aspectos de la seguridad del
sistema.
Deshabilitar el acceso como root
La
configuración del servidor SSH se encuentra almacenada en el fichero
/etc/ssh/sshd_config. Para deshabilitar el acceso de root, asegúrese de
tener la siguiente entrada:
#Prevent root logins:
PermitRootLogin No
y reiniciar el servicio sshd:
#service sshd restart
Si usted necesita acceder como root, acceda como un usuario normal y use el comando su -.
Deshabilitar el protocolo 1
SSH
posee dos protocolos que se pueden usar, protocolo 1 y protocolo 2. El
viejo protocolo 1 es menos seguro y debe estar deshabilitado, a menos
que usted lo requiera para algo específico. Busque la siguiente línea en
el fichero /etc/ssh/sshd_config, descoméntela y modifíquela como sigue:
#Protocol 2,1
Protocol 2
Reinicie el servicio sshd.
Usar un Puerto No-Estándar
Por
defecto, ssh escucha las conexiones entrantes en el puerto 22. Para que
un hacker determine si ssh se está ejecutando en su máquina, lo más
probable es que escanee el puerto 22. Un método efectivo es ejecutar ssh
en un puerto no-estándar. Cualquier puerto sin usar funcionará, pero es
preferible usar uno por encima del 1024. Muchas personas escogen el
2222 como un puerto alternativo (porque es fácil de recordar), de la
misma forma que el 8080 es conocido, a menudo, como un puerto HTTP
alternativo. Por esta razón, probablemente esta no es la mejor opción.
De la
misma forma que cualquier hacker escaneará el puerto 22,
seguramente también escaneará el puerto 2222 solo como buena medida. Es
mejor escoger cualquier puerto alto al azar que no sea usado por ningún
servicio conocido. Para hacer los cambios, añada una línea como esta a
su fichero /etc/ssh/sshd_config:
# Ejecutar ssh en un puerto No-Estándar:
Port 22 #Cambiar por otro Puerto
y reinicie el servicio sshd.
Nota: Recuerde hacer cualquier cambio necesario a los puertos de reenvío en su enrutador y a cualquier regla aplicable al firewall.
---------------------------------->> <<------------------------------------------
Engel aus Metall
Think Free, Think Linux --> armandoyepezjim@hotmail.com
Twitter: @engelausmetall
---------------------------------->> <<------------------------------------------
No hay comentarios:
Publicar un comentario