notas:openssh
Diferencias
Muestra las diferencias entre dos versiones de la página.
Próxima revisión | Revisión previaPróxima revisiónAmbos lados, revisión siguiente | ||
notas:openssh [2010/08/02 15:05] – creado cayu | notas:openssh [2014/01/02 20:12] – cayu | ||
---|---|---|---|
Línea 1: | Línea 1: | ||
====== OpenSSH ====== | ====== OpenSSH ====== | ||
+ | ===== Configuración general ===== | ||
+ | == TCPKeepAlive yes == | ||
+ | Significa que el servidor sshd enviara mensajes de keepalive a el cliente después de que detecta alguna inactividad (idle), este método puede ser spoofable. | ||
+ | |||
+ | == UsePrivilegeSeparation yes == | ||
+ | Significa que después de que la sesión ssh se ha establecida se pasaran los privilegios de ese proceso a el usuario de quien inicie la conexión, sin | ||
+ | esto el proceso estará a nombre de root, muy bueno esto para evitar elevaciónn de privilegios. | ||
+ | == LoginGraceTime 30 == | ||
+ | El número indica la cantidad de segundos en que la pantalla de login estará disponible para que el usuario capture su nombre de usuario y contraseña, | ||
+ | |||
+ | == PermitRootLogin no == | ||
+ | |||
+ | El usuario root no tendrá permiso de acceder mediante ssh y por lo tanto cualquier intento de ataque directo a root será inútil. Con esto siempre tendremos que ingresar como un usuario normal y ya estando adentro entonces mediante su o sudo podremos usar funciones de root. | ||
+ | |||
+ | == MaxAuthTries 2 == | ||
+ | El número indica la cantidad de veces que podemos equivocarnos en ingresar el usuario y/o contraseña, | ||
+ | |||
+ | == MaxStartups 3 == | ||
+ | El número indica la cantidad de pantallas de login, o cantidad de conexiones simultaneas de login que permitirá el sshd por ip que intente conectarse. Hay ataques muy efectivos que dividen el ataque en decenas y puede ser que en cientos (si el sistema atacado lo permite) de conexiones de login. Es decir, el ataque divide en una gran cantidad de logins los intentos por ingresar, aumentando sus posibilidades de más rapidamente adivinar al usuario y contraseña. Con esta directiva limitamos a tan solo 3 pantallas de login. Que quede claro, una vez logueados en el sistema, es posible tener mas de 3 terminales de ssh, se refiere exclusivamente a pantallas de login. | ||
+ | |||
+ | == AllowUsers == | ||
+ | En sistemas donde se tiene varios usuarios, quizás existan varios que solo pueden acceder desde la LAN por ejemplo, o quizás solo desde ciertos equipos. Con esta directiva podemos indicar los usuarios que pueden ingresar via ssh. Si solo indicamos al usuario: | ||
+ | < | ||
+ | AllowUsers sergio | ||
+ | </ | ||
+ | El usuario sergio podrá ingresar desde cualquier PC en cualquier lugar, no se está validando el host. | ||
+ | Si se quiere mas seguridad, es posible indicar también el host mediante el símbolo @ | ||
+ | * **Solo desde la IP indicada** | ||
+ | * AllowUsers sergio@192.168.0.25 | ||
+ | * **Toda la red indicada** | ||
+ | * AllowUsers sergio@192.168.0.* | ||
+ | * **sergio desde su equipo del dominio** | ||
+ | * AllowUsers sergio@lng007024.intercement.gcc.com | ||
+ | * **sergio desde cualquier equipo del dominio indicado** | ||
+ | * AllowUsers sergio@*.intercement.gcc.com | ||
+ | |||
+ | == AllowGroups == | ||
+ | Idem a la directiva anterior, pero define que grupos de usuarios se pueden logguear por SSH. | ||
+ | < | ||
+ | AllowGroups linux-admin linux-ssh | ||
+ | </ | ||
+ | |||
+ | |||
+ | |||
+ | ===== TIPS varios ===== | ||
===== Autenticación con clave pública/ | ===== Autenticación con clave pública/ | ||
Línea 17: | Línea 62: | ||
</ | </ | ||
Luego, en el equipo remoto | Luego, en el equipo remoto | ||
+ | |||
+ | |||
+ | **Por si no estuviera generado** | ||
+ | < | ||
+ | $ mkdir .ssh | ||
+ | </ | ||
+ | |||
+ | **Agrega esta clave pública al archivo de claves públicas autorizadas en el directorio .ssh** | ||
< | < | ||
- | $ mkdir .ssh (por si no estuviera generado) | + | $ cat id_dsa.pub >> ~/ |
- | $ cat id_dsa.pub >> ~/ | + | |
</ | </ | ||
Luego setear permisos | Luego setear permisos | ||
Línea 27: | Línea 79: | ||
$ chmod 644 ~/ | $ chmod 644 ~/ | ||
</ | </ | ||
- | Luego si queremos una conexion ssh reverso | + | |
+ | ===== Conexion SSH reverso | ||
< | < | ||
Línea 39: | Línea 93: | ||
</ | </ | ||
- | Ej si estamos | + | ===== Compartir conexion SSH ===== |
+ | |||
+ | La idea es compartir una conexion ssh, por ejemplo: | ||
+ | < | ||
+ | hostA# ssh -M -S /tmp/hostB hostB | ||
+ | </ | ||
+ | Esa linea hace una conexion normal de ssh, pero crear un Unix socket en | ||
+ | /tmp/hostB para compartir, entonces: | ||
+ | < | ||
+ | hostA# ssh -S /tmp/hostB hostB | ||
+ | </ | ||
+ | Y van a ver como entran al hostB en forma inmediata y sin clave. | ||
+ | |||
+ | O tambien pueden copiar archivos: | ||
+ | < | ||
+ | hostA# scp -o ' | ||
+ | </ | ||
+ | Es util para scripts o para conexiones ssh de esas que son muy lentas | ||
+ | para el login (generalmente por que el destino tiene problemas de DNS). | ||
+ | |||
+ | Fuente: DiegoW - Lista de correo de Lanux | ||
+ | ===== SSH detras de un proxy ===== | ||
Ejecutamos un | Ejecutamos un | ||
Línea 56: | Línea 132: | ||
otro link interesante http:// | otro link interesante http:// | ||
+ | |||
comparacion de ejemplos de comandos debian y SuSE | comparacion de ejemplos de comandos debian y SuSE | ||
+ | |||
+ | |||
En Debian | En Debian | ||
Línea 78: | Línea 157: | ||
+ | ===== Eliminar banner de OpenSSH en Debian ===== | ||
+ | < | ||
+ | DebianBanner " " | ||
+ | </ |
notas/openssh.txt · Última modificación: 2017/08/17 15:10 por cayu