SSH

SSH: Shell seguro

• Permite comunicarnos de forma segura con un servidor remoto
  • Permite abrir sesiones o transferir ficheros (scp o sftp)
  • Reemplazo de rlogin, telnet o ftp
  • Todos los datos viajan encriptados
  • Dos versiones SSH-1 y SSH-2:
    • Recomendable SSH-2
    • Versión open-source OpenSSH
• Paquetes Debian:
  • Ciente: openssh-client
  • Servidor: openssh-server

Modos de autenticación mediante SSH

SSH soporta 4 modos de autenticación:

1. Si el nombre del host remoto desde el cual un usuario se conecta al servidor esta listado en ~/.rhosts, ~/.shosts, /etc/hosts.equiv o /etc/shosts.equiv el usuario remoto puede entrar sin contraseña
   • Método absolutamente desaconsejado
2. Igual que el anterior pero la clave pública del host remoto debe aparecer en /etc/ssh_known_hosts o ~/.ssh/known_hosts
   • No demasiado seguro (si el host remoto se ve comprometido, el servidor local queda comprometido)
3. La clave pública del usuario remoto debe estar en ~/.ssh/authorized_keys
   • El usuario remoto debe tener acceso a su clave privada
   • Método más seguro, pero un poco incomodo
4. Acceso mediante contraseña (modo por defecto)
   • Menos seguro que el anterior

Opciones para autenticación

Fichero de configuración del servidor ssh: /etc/ssh/sshd_config

Opción M Dfto. Significado

RhostsRSAAuthentication 2 no Si yes permite autenticación por host (SSH-1)

HostbasedAuthentication 2 no Si yes permite autenticación por host (SSH-2)

IgnoreRhosts 2 yes No usa los ficheros ~/.rhosts y ~/.shosts

IgnoreUserKnownHosts 2 no Ignora el fichero ~/.ssh/known_hosts

RSAAuthentication 3 yes Autenticación de clave pública de usuario (SSH-1)

PubkeyAuthentication 3 yes Autenticación de clave pública de usuario (SSH-2)

PasswordAuthentication 4 yes Autenticación mediante contraseña

UsePAM 2,3,4 no Usa PAM para autenticación

Otras opciones de configuración del servidor

Otras opciones en /etc/ssh/sshd_config

Opción Dfto. Significado

Port 22 Puerto (puede ser interesante cambiarlo a >1024)

Protocol 2,1 Protocolo aceptado (más seguro sólo 2)

ListenAddress Todas Dirección local por la que escucha

PermitRootLogin yes Permite acceder al root

X11Forwarding no Permite forwarding X11

Para más opciones man sshd_config

Opciones para el cliente

Fichero de configuración del cliente ssh: /etc/ssh/ssh_config o ~/.ssh/config

• En este fichero se especifican opciones para los comandos ssh, scp o sftp
• Algunas de estas opciones se pueden especificar en el momento de ejecutar el comando, p.e.

  $ ssh -p port servidor # Indica otro puerto

Algunas opciones:

Opción Dfto. Significado

Hosts Host para los que se aplican las opciones (* implica todos)

Port 22 Puerto por defecto

Protocol 2,1 Protocolo usado por defecto

Cipher[s] Mecanismos de cifrado usados

ForwardX11 no Reenvío X11

Para más opciones man ssh_config y man ssh

Otros comandos

• ssh-keygen generación y gestión de claves públicas/privadas para SSH
  • Permite claves RSA o DSA (DSA sólo SSH-2, por defecto RSA-2)
  • Ficheros (para SSH-2)
    • Clave privada: ~/.ssh/id_rsa o ~/.ssh/id_dsa (~/.ssh/identity para SSH-1)
    • Clave pública: ~/.ssh/id_rsa.pub o ~/.ssh/id_dsa.pub (~/.ssh/identity.pub para SSH-1)
  • La clave privada debe tener una passphrase de longitud arbitraria
    • Puede cambiarse con la opción -p
• ssh-agent Agente de autenticación
  • Mantiene en memoria la clave privada
  • Evita tener que escribir la passphrase cada vez que usemos ssh
  • Habitualmente, si entramos en X11 se activa automáticamente
    • Opción use-ssh-agent de /etc/X11/Xsession.options (ver man xsession.options)
  • Para activarlo en consola usar (como usuario)

    eval $(ssh-agent)

  • Define las variables SSH_AUTH_SOCK y SSH_AGENT_PID
• ssh-add Añade las claves privadas al agente
  • Uso:

    ssh-add [opciones] [-t life] [fichero]

  • Por defecto añade los ficheros ~/.ssh/id_rsa, ~/.ssh/id_dsa y ~/.ssh/identity, pidiendo las correspondientes passphrases
  • Pueden añadirse múltiples claves
    • En una conexión se prueban las diferentes claves hasta que coincide
  • Algunas opciones:
    • -l Muestra las identidades añadidas
    • -t life Especifica un tiempo de vida de la identidad