SSH o también conocido como Secure Shell, es uno de los protocolos más conocidos para la gestión y administración de servidores, routers, switches y otro tipo de dispositivos de forma remota y totalmente segura. En RedesZone hemos realizado un completo manual de configuración de OpenSSH, el software de servidor SSH más utilizado en cualquier sistema operativo.

Todo el manual de configuración está realizado con la última versión Debian 9 que tenemos disponible a día de hoy, la versión de OpenSSH-server también es la última, por lo que estaremos actualizados a la última respecto a las opciones de seguridad.

Opciones generales orientadas a mejorar la seguridad

En este manual no solo aprenderás a instalar el servidor SSH en cualquier Linux, sino también a configurarlo correctamente con la mejor seguridad posible. Cambio de puerto por defecto, permitir o impedir los inicios de sesión con usuario y contraseña, selección de los mejores algoritmos de cifrado simétrico, mejores algoritmos de intercambio de claves y mejores algoritmos de cifrado asimétrico son algunos de los parámetros que deberemos configurar.

Otros aspectos a tener en cuenta son por ejemplo impedir el acceso directamente con el usuario root, permitir o denegar a ciertos usuarios y/o grupos, limitar el número de intentos de inicio de sesión, número de intentos de sesión simultáneos y un largo etcétera de parámetros que deberemos configurar para asegurar al máximo uno de los servicios más importantes de un servidor.

Todos los métodos de autenticación explicados

En RedesZone hemos explicado en detalle varios métodos de autenticación para entrar en el servidor SSH, los métodos de autenticación que hemos explicado son los siguientes:

• Autenticación por usuario/clave de la PAM del sistema
• Autenticación por clave pública RSA de 4096 bits
• Autenticación por usuario/clave + One Time Password generado con Google Authenticator o Latch
• Autenticación por clave pública RSA de 4096 bits + One Time Password generado con Google Authenticator o Latch
• Autenticación con Latch para entrar en el sistema con usuario/clave o con clave pública.

Tal y como podéis ver, hemos abordado una gran cantidad de métodos de autenticación y la combinación de ellos, de esta forma, protegeremos nuestro servidor SSH al máximo.

Software adicional para proteger el servicio SSH

El cortafuegos con iptables o cualquier otro cortafuegos es un aspecto fundamental para proteger adecuadamente el servicio SSH. En RedesZone hemos explicado cómo podemos limitar el número de conexiones simultáneas desde una IP de origen a nuestro servicio, además, también hemos usado el módulo recent para filtrar por tiempo. De esta forma, si un usuario intenta iniciar sesión en nuestro servidor más de 5 veces en un tiempo inferior a 60 segundos, podremos “banearle” con el propio firewall.

Otras medidas de mitigación de posibles ataques es por ejemplo port-knocking, de esta forma, el puerto SSH no estará abierto y solo lo abriremos siempre que “toquemos” en unos puertos predefinidos anteriormente. Por último, también abordamos el popular programa fail2ban, así como un listado de herramientas para comprobar que hemos configurado correctamente el servidor SSH.

Os recomendamos visitar nuestro manual en el siguiente enlace:

• Manual para configurar el servidor SSH OpenSSH con la máxima seguridad posible

Podéis visitar nuestra sección de seguridad informática donde encontraréis más manuales para asegurar vuestros equipos.