daniel steward ayala sernaque_tarea ssh linux y windows - iii unidad
DESCRIPTION
tarea redesTRANSCRIPT
-
Instalacin y configuracin de Servidor SSH
1
AO DE LA DIVERSIFICACIN PRODUCTIVA Y EL FORTALECIMIENTO DE LA
EDUCACIN
I.- DATOS GENERALES
1. Facultad: Ingeniera
2. Carrera Profesional: Ingeniera De Sistemas
3. Centro Uladech Catlica: Sullana
4. Nombre de la asignatura: Administracin de Servidores
5. Semestre acadmico: II Ciclo acadmico: VI
6. Docente tutor: Ing. Miguel Ancajima Holguin
7. Integrantes:
Carmen Alburqueque Estebes
Daniel Ayala Sernaque
-
Instalacin y configuracin de Servidor SSH
2
Servidor SSH
Instalacin del servidor SSH
Desde el terminal ejecutamos
$ sudo apt-get install openssh-server openssh-client
Concluida la instalacin, procedemos a configurar el servidor
Configuracin
Para configurar el servidor SSH,editamos el archivo sshd_config
$ sudo gedit /etc/ssh/sshd_config
Iniciaremos definiendo en qu direccin queremos que escuche el servidor ssh, de forma
que en caso de tener varias interfaces de red (una pblica y otra privada) slo se acceda
por una de ellas.
Cambiar la directiva ListenAddress a (por ejemplo) la direccin privada del servidor:
# Use these options to restrict which interfaces/protocols sshd will bind to #ListenAddress ::
#ListenAddress 0.0.0.0 ListenAddress 192.168.1.136
Recomendacin: para evitar ataques de hackers y hacerles ms difcil que se conecten
se debe desactivar la opcin para que se conecte el usuario "root", cambiando a no en
la siguiente lnea: PermitRootLogin yes
# Authentication:
LoginGraceTime 120
-
Instalacin y configuracin de Servidor SSH
3
PermitRootLogin no StrictModes yes
Cambiando a un puerto no estndar
Para aumentar la seguridad, una de las prcticas habituales es cambiar el puerto
estndar (22) a uno no estndar (por ejemplo 5039).
Cambiamos la directiva Port de 22 a (por ejemplo) 5039:
# What ports, IPs and protocols we listen for
Port 5039
Incrementando la seguridad
Con los pasos anteriores tendremos un servidor ya bastante seguro, pero todo se puede
mejorar. Ahora vamos a definir otros aspectos de seguridad.
Cambiar el nmero de intentos fallidos de autenticacin
Cambiar el nmero de intentos fallidos de autenticacin es una buena estrategia, sobre
todo si nuestro servidor est escuchando en una red pblica. De sta forma podemos
evitar que un posible atacante intente repetidamente averiguar una contrasea:
Cambiamos la directiva MaxAuthTries, si no est la aadimos al final del archivo:
MaxAuthTries 2
Si fallamos la contrasea dos veces, nos desconecta.
Cambiar el nmero de conexiones concurrentes no autentificadas
sta es una buena estrategia tambin, para evitar intentos de conexin. La directiva
MaxStartUps controla el nmero de conexiones no autenticadas en el servidor, de sta
forma, evitamos que posibles atacantes intentasen conectarse demasiadas veces.
Cambiamos la directiva MaxStartUps, si no est la aadimos al final del archivo:
MaxStartUps 3
Permitiendo y denegando hosts
Para permitir y denegar los accesos, editaremos los archivos /etc/hosts.deny y
/etc/hosts.allow. En el primero de ellos denegaremos todos los hosts y en el segundo
permitiremos algunos, de forma que quedar todo denegado excepto lo que permitamos
en hosts.allow.
Es imprescindible que comprendamos que los archivos hosts no se aplican solo al
servidor ssh, sino a toda la mquina, por lo que hay que tener especial cuidado a la
hora de permitir o denegar los accesos. sta prctica puede no ser adecuada en
-
Instalacin y configuracin de Servidor SSH
4
servidores web y tener en cuenta qu servicios permitir y denegar.
De sta forma, si tenemos un servidor conectado a dos redes (una red interna y una
red pblica) podramos denegar el acceso desde la red pblica.
Desde el terminal ejecutamos:
$ sudo gedit /etc/hosts.deny
Una vez abierto el archivo agregamos:
ALL: ALL
Ahora editamos el archivo hosts.allow:
sudo gedit /etc/hosts.allow
Y aadimos los hosts que queramos:
sshd: 192.168.1.136 # Permitir una direccin.
sshd: 192.168.1.* # Permitir todo el rango de la IP 192.168.1.1 a 192.168.1.255.
Conectando al servidor:
Desde el terminal ejecutamos
javier@javierpc:~$ ssh [email protected]
The authenticity of host '192.168.1.136 (192.168.1.136)' can't be established.
ECDSA key fingerprint is c5:4a:cc:74:ab:a1:77:81:90:0d:4e:3a:98:8f:ee:b6.
Are you sure you want to continue connecting (yes/no)? y
Please type 'yes' or 'no': yes
Warning: Permanently added '192.168.1.136' (ECDSA) to the list of known hosts.
[email protected]'s password:
Una vez conectados nos muestra:
The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.
Welcome to Ubuntu 12.10 (GNU/Linux 3.5.0-17-generic i686)
* Documentation: https://help.ubuntu.com/
4 packages can be updated.
0 updates are security updates.
Generando la clave de acceso:
Desde el terminal ejecutar:
-
Instalacin y configuracin de Servidor SSH
5
javier@javierpc:~$ ssh-keygen
A
continuacin, para controlar y tener acceso al servidor, simplemente deberemos escribir
en la terminal del ordenador cliente, el siguiente comando con los datos de acceso al
ordenador remoto:
ssh -p puerto usuario@ipservidor
Donde:
"SSH" es el comando en s.
"-p" indica a SSH que utilice un puerto no privilegiado (para conexiones tras
router o firewall que bloquean conexiones a puertos privilegiados (< 1024)
"puerto" por defecto es el puerto 22. Si usis otro, poned su valor aqu.
"usuario" nombre de usuario en el servidor
"ipservidor" como su nombre indica, la IP asignada al servidor y con la que se conecta a la red.
Por ejemplo:
javier@javierpc:~$ ssh -p 5039 [email protected]
Otra forma de conectar al servidor: Instalando Putty
Es tambin posible abrir una terminal remota usando un cliente ssh. Entre los clientes ms
populares, ligeros y verstiles, para Windows y Linux, se encuentran putty.
PuTTY es un cliente SSH, Telnet, rlogin, y TCP raw con licencia libre. Es un cliente de
acceso remoto a mquinas informticas de cualquier tipo mediante SSH.
Desde el terminal ejecutar:
-
Instalacin y configuracin de Servidor SSH
6
javier@javierpc:~$ sudo apt-get install putty
Una vez culminada la instalacin, ejecutamos Putty para iniciar una nueva sesin:
Aplicaciones --> Internet --> puTTY SSH client
En SSH:
En la figuras
1 2
3
4
-
Instalacin y configuracin de Servidor SSH
7
anteriores se muestra los datos necesarios para la conexin:
En sesin:
IP del servidor, el puerto y el nombre de para la conexin
En SSH:
En Preferred SSH protocol version, Verificar que la opcin 2 se encuentre
seleccionada.
Luego volver a la opcin de Sesin y hacer click en Open
Luego de
-
Instalacin y configuracin de Servidor SSH
8
configurar los datos de la sesin, nos muestra los siguiente:
Pulsamos en Accept, luego de ingresar el password nos permite el accesp al servidor:
Iniciar el
servidor:
javier@javierpc:~$ sudo service ssh start
ssh start/running, process 4738
Detener el servidor:
javier@javierpc:~$ sudo service ssh stop