Aprendiendo SSH : Buenas practicas a realizar en un Servidor SSH
En est présente, sexto y último post, de nuestra serie de publications sobre Apprendre SSH abordaremos de forma práctica, la configuration et l’utilisation de las opciones especificadas en el archives de configuration de OpenSSH que se manejan del lado del serveur SSHes decir, el archivo « Configuration SSHD » (sshd_config). Las cuales, abordamos en la entrega anterior.
De manera tal, de que podamos conocer de forma breve, sencilla y directa, algunas de las mejores buenas prácticas (recomendaciones y consejos) a la hora de configurer un serveur SSHtanto en el hogar, como en una oficina.
Apprendre SSH : Options et paramètres de l’archive SSHD Config
Y, antes de iniciar el tema de hoy, sobre las mejores « Buenas prácticas a aplicar en las configuraciones de un Servidor SSH »dejaremos algunos enlace a publicaciones relacionadas, para su posterior lectura :
Article lié :
Apprendre SSH : Options et paramètres de l’archive SSHD Config
Article lié :
Apprendre SSH : Options et paramètres de l’archive SSH Config
Buenas prácticas en un Servidor SSH
¿Qué buenas prácticas aplican a la hora de configurar un Servidor SSH?
A continuation, y basándonos en las opciones y parametros del archive “Configuration SSHD” (sshd_config), antes vistos en el post anterior, estas serían algunas de las mejores buenas prácticas a realizar en cuanto a la configuration de dicho archivo, para asegurar lo mejor possible nuestras conexiones remotas, entrantes et saillantessur un serveur SSH déterminé :
Précisez les utilisateurs que vous pouvez initier la session SSH avec l’option Autoriser les utilisateurs
Dado que, esta opción o parámetro no suele no come incluida por defecto en dicho archivo, se puede insertar al final del mismo. Haciendo uso de una liste de patrons de nombre d’utilisateurs, séparés par espaces. De forma tal, de que, si se especifica, le début de la sessionentonces solo se permitirá el mismo para las coïncidencias de nombres de usuario y host que coïncidan con uno de los patrones configurados.
Par exemple, tal como se ve a continueación :
AllowUsers *patron*@192.168.1.0/24 *@192.168.1.0/24 *.midominio.com *@1.2.3.4
AllowGroups ssh
Indicarle a SSH por cuál interfaz de red local escuchará with the opción ListenAddress
Para ello, se debe habilitar (descomentar) la option ÉcouterAdresseque vien de forma predeterminada con el valeur « 0.0.0.0 »pero en realidad funciona en mode TOUT, es decir, escuchar por todas las interfaces de red disponibles. Por ende, luego se debe establecer dicho valor de forma tal, de que se especifique cuál o cuáles directions locales IP serán utilizadas por el programa sshd para escuchar peticiones de conexión.
Par exemple, tal como se ve a continueación :
ListenAddress 129.168.2.1 192.168.1.*
Establecer el ingreso por SSH mediante llaves con la opción Authentification par mot de passe
Para ello, se debe habilitar (descomentar) la option Authentification par mot de passeque vien de forma predeterminada con el vaillance “oui”. Y luego, establecer dicho valor como “Non”, para así exigir la utilización de llaves pública y privada para lograr la autorización de acceso a una máquina en específico. Logrando que, únicamente puedan ingresar los usuarios remotos, desde la o las computadoras, que sean autorizadas previamente. Par exemple, tal como se ve a continueación :
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
PubkeyAuthentication yes
Désactiver le début de la session avec la racine médiane SSH avec l’option PermitRootLogin
Para ello, se debe habilitar (descomentar) la option PermitRootLoginque vien de forma predeterminada con el valeur «mot de passe interdit». Sin embargo, si se desea que de forma total, no se permita qu’un usuario root arranque una sesión SSH, el valor adecuado a configurar es “Non”. Par exemple, tal como se ve a continueación :
PermitRootLogin no
Cambiar el puerto por defecto de SSH con la opción Port
Para ello, se debe habilitar (descomentar) la Option Portque viene de forma predeterminada con el valeur «22». Embargo sur le péché, es vital cambiar dicho puerto a cualquier otro available, para así, mitigar y evitar el número de ataques, manuales o de fuerza bruta, que puedan hacerse por dicho puerto hartamente conocido. Es important asegurarse que, dicho nuevo puerto está disponible y puede ser usado por las demás aplicaciones que van a conectarse a nuestro servidor. Par exemple, tal como se ve a continueación :
Port 4568
Autres options utiles à établir
Par último, y dado que, le programme SSH est démasqué amplioy en la entrega anterior ya abordamos más a detalles cada una de las opciones, a continuación solo mostraremos algunas opciones más, con algunos valores que pudieran llegar a ser adecuados en múltiples y variados casos de uso.
Y estas son las suivantes:
- Bannière /etc/issue
- ClientAliveInterval 300
- ClientAliveCountMax 0
- ConnexionGraceTime 30
- LogLevel INFO
- MaxAuthTries 3
- MaxSessions 0
- MaxStartups 3
- Autoriser les mots de passe vides Non
- PrintMotd oui
- PrintLastLog oui
- Modes stricts Oui
- SyslogFacility AUTH
- X11Transfert oui
- X11DisplayOffset 5
Remarque: Tengase en cuenta que, dependiendo del nivel de experiencia y experticia del o los Administrateurs système y los requerimientos de seguridad de cada plataforma tecnológica, muchas de estas opciones pueden con todo derecho y lógica variar de formas muy distintas. Además, de que otras opciones mucho más avanzadas o complejas pueden llegar a habilitarse, por ser útiles o necesarias en diferentes entornos de operación.
Autres bonnes pratiques
Entre autres buenas practicas a implementar en un Servidor SSH podemos mencionar las suivants:
- Configurar una notificación de advertencia por correo para informar sobre todas o determinadas conexiones SSH.
- Proteger el acceso SSH a nuestros servidores contra ataques de fuerza bruta haciendo empleo de la herramienta Fail2ban.
- Chequear periódicamente con la herramienta Nmap en los servidores SSH and otros, en búsqueda de posibles puertos abiertos no autorizados o requeridos.
- Reforzar la sécurité de la plate-forme informatique intermédiaire de l’installation d’un IDS (Sistema de Detección de Intrusiones) et d’un IPS (Sistema de Prevención de intrusiones).
Article lié :
Aprendiendo SSH : Options et paramètres de configuration – Partie I
Article lié :
Apprentissage SSH : installation et archives de configuration
CV
En résumé, con esta última entrega sobre «Apprendre SSH» finalizamos el contenido explicativo sobre todo lo relacionado con OpenSSH. Seguramente, en un corto tiempo, estaremos compartiendo un poco más de conocimiento esencial sobre el protocole SSHy con respecto a su uso por console médiante Script Shell. Así que, esperamos que estas «buenas practicas en un Servidor SSH»hayan aportado mucho valor, tanto en lo personal como lo professional, a la hora de utilizar GNU/Linux.
Si te ha gustado esta publicación, no dejes de commentarla y de compartirla con otros. Y recuerda, visitar nuestra « page d’accueil » para explorar más noticias, además de unirte a nuestro canal oficial de Télégramme de DesdeLinuxo este groupe para más información sobre el tema de hoy.
