Instalación de un servidor SSH

INSTALACIÓN DE UN SERVIDOR SSH:

Habitualmente los equipos con alguna variedad de GNU/Linux traen un servidor ssh instalado, en el caso de los sistemas Debian y derivados el paquete que proporciona el servidor ssh se llama openssh-server. Podemos comprobar si ya está instalado mediante la instrucción:

dpkg -l |grep openssh-server

ii  openssh-server            ......

El fichero de configuración de este servicio se encuentra habitualmente en /etc/ssh/sshd_config y contiene las opciones de configuración.

Las opciones aplicadas las obtendríamos mediante:

grep -v '^$\|^#' /etc/ssh/sshd_config

ChallengeResponseAuthentication no

UsePAM yes

X11Forwarding yes

PrintMotd no

AcceptEnv LANG LC_*

Subsystem    sftp    /usr/lib/openssh/sftp-server

Sin embargo, en el caso de ssh hay muchas opciones que no vienen definidas y que se asume un valor por defecto, lo que puede resultar confuso. Sin embargo podemos utilizar la opción “-T: extended test mode” que comprueba la validez del fichero de configuración y muestra las opciones efectivas que se aplican (las que están habilitadas de forma explícita y las que tienen valores por defecto (en sistemas GNU/linux sshd sólo puede ejecutarlo un usuario privilegiado):

sshd -T

...

port 22

addressfamily any

listenaddress [::]:22

listenaddress 0.0.0.0:22

usepam yes

logingracetime 120

x11displayoffset 10

maxauthtries 6

maxsessions 10

clientaliveinterval 120

clientalivecountmax 3

streamlocalbindmask 0177

permitrootlogin without-password

ignorerhosts yes

ignoreuserknownhosts no

hostbasedauthentication no

hostbasedusesnamefrompacketonly no

pubkeyauthentication yes

kerberosauthentication no

kerberosorlocalpasswd yes

kerberosticketcleanup yes

gssapiauthentication no

gssapikeyexchange no

gssapicleanupcredentials yes

gssapistrictacceptorcheck yes

gssapistorecredentialsonrekey no

passwordauthentication yes

kbdinteractiveauthentication no

challengeresponseauthentication no

printmotd no

printlastlog yes

x11forwarding yes

x11uselocalhost yes

permittty yes

permituserrc yes

strictmodes yes

tcpkeepalive yes

permitemptypasswords no

permituserenvironment no

compression yes

gatewayports no

usedns no

allowtcpforwarding yes

allowagentforwarding yes

disableforwarding no

allowstreamlocalforwarding yes

streamlocalbindunlink no

useprivilegeseparation sandbox

fingerprinthash SHA256

pidfile /run/sshd.pid

xauthlocation /usr/bin/xauth

ciphers chacha20-poly1305@openssh.com,aes128-ctr, ...

macs umac-64-etm@openssh.com,umac-128-etm@openssh.com, ...

versionaddendum none

kexalgorithms curve25519-sha256,curve25519-sha256@libssh.org, ...

hostbasedacceptedkeytypes ecdsa-sha2-nistp256-cert-v01@openssh.com, ...

hostkeyalgorithms ecdsa-sha2-nistp256-cert-v01@openssh.com, ...

pubkeyacceptedkeytypes ecdsa-sha2-nistp256-cert-v01@openssh.com, ...

loglevel INFO

syslogfacility AUTH

authorizedkeysfile .ssh/authorized_keys .ssh/authorized_keys2

hostkey /etc/ssh/ssh_host_rsa_key

hostkey /etc/ssh/ssh_host_ecdsa_key

hostkey /etc/ssh/ssh_host_ed25519_key

acceptenv LANG

acceptenv LC_*

authenticationmethods any

subsystem sftp /usr/lib/openssh/sftp-server

maxstartups 10:30:100

permittunnel no

ipqos lowdelay throughput

rekeylimit 0 0

permitopen any

AUTENTICACIÓN CON USUARIO Y CONTRASEÑA:

El método inicial de autenticación es utilizando los usuarios del sistema y las contraseñas que tienen almacenadas en el sistema. A SSH no le afecta la forma en la que el sistema almacena las contraseñas, entra en la forma en la que se almacenan las contraseñas (fichero, LDAP, etc.).

Las opciones de configuración que afectan en este caso son las siguientes:

passwordauthentication yes|no

challengeresponseauthentication yes|no

permitemptypasswords yes|no

Teóricamente challengeresponseauthentication es un mecanismo más complejo que permite preguntar al usuario otras cuestiones, no sólo la contraseña, pero en la práctica se suele preguntar la contraseña.

En sistemas GNU/Linux se añade la opción

usepam yes

Que permite utilizar el subsistema PAM como mecanismo de autenticación.

Ejercicio simple de acceso con usuario/contraseña

Accedemos a un servidor remoto con:

ssh usuario@172.22.200.175

The authenticity of host '172.22.200.175 (172.22.200.175)' can't be established.

ECDSA key fingerprint is SHA256:Bsv9OS7Qf94ANguOiDLNPHn7J+XlwisWZydmfqa4QMo.

Are you sure you want to continue connecting (yes/no)?

Para verificar el servidor, en lugar de mostrarnos la clave pública completa, nos muestra la huella (fingerprint) de la clave pública del servidor, que no es más que un hash de la clave pública, en este caso utlizando SHA256. Podemos comprobar la correspondencia entre la clave pública y la huella mediante la instrucción:

ssh-keygen -l -E sha256 -f fichero_con_clave_publica

Podríamos hablar con detalle de la forma efectiva de verificar las claves públicas, pero en este momento aceptamos la clave que se nos ofrece y por tanto tecleamos “yes” y a continuación nos pide la contraseña de acceso, la introducimos y accedemos a una shell en el equipo remoto:

Warning: Permanently added '172.22.200.175' (ECDSA) to the list of known hosts.

usuario@172.22.200.175's password: **********

Last login: Fri Feb 16 17:34:41 2018 from 172.23.0.22

usuario@host:~$

Ejecución remota

SSH permite ejecutar una orden remotamente de forma no interactiva, lo que resulta muy cómodo cuando hay que realizar tareas muy específicas en un equipo remoto. Por ejemplo:

ssh usuario@172.22.200.175 sudo apt update

También se pueden encadenar varias órdenes o ejecutar un script:

ssh usuario@172.22.200.175 'sudo apt update && sudo apt upgrade'

Consideraciones acerca de root

Se puede restringir el acceso con el usuario root utilizando contraseña, aspecto importante desde el punto de vista de seguridad, por lo que hoy en día habitualmente se utiliza la opcion:

...