Vayamos al grano, para instalar en debian, adivinen que tienen que hacer?
(Logeado como root…)
- apt-get install openssh-server
…y voilá! Ya esta instalado.
Ahora nos falta configurarlo adecuadamente…
Acá muestro mi archivo de configuración (/etc/ssh/sshd_config) pero un poco modificado (porque tengo otras cosas que no viene al caso), asi que puede ser que no funque porque no lo probé, pero no creo. Debería andar.
# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768
# Logging
SyslogFacility AUTH
LogLevel INFO
# Authentication:
LoginGraceTime 30
PermitRootLogin no
StrictModes yes
MaxStartups 3
#Version 2 only
PubkeyAuthentication yes# Don’t read the user’s ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
# Change to yes to enable tunnelled clear text passwords
PasswordAuthentication no
X11Forwarding no
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
KeepAlive yes
#UseLogin no
#MaxStartups 10:30:60
Banner /etc/issue.ssh
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
ClientAliveInterval 600
AllowGroups ssh
#Solo usamos IPv4
AddressFamily inet
###EOF
Voy a explicar lo que esta en negrita (que sería lo más relevante para mi)
- Protocol 2 <- Usar solamente el protocolo 2 de SSH (La primera version no es segura)
- PermitRootLogin no <- Más que claro. No se debería dejar logear a root. Creo que ni tengo que explicar porque.
- PasswordAuthentication no <- Hay que obligar a usar passwd’s
- AllowGroups ssh <- Solamente permitimos aquellos usuarios que pertenecen al grupo ssh
Un consejo que yo no utilicé pero debería empezar a utilizar:
UseDNS <- Por lo que lei, es para anti spoofing. (además, suena lógico)
Bueno, esto lo escribi en 30′ asi que supongo que debe tener algun error… criticas sean bienvenidas!
* Edité lo que comentó Francisco
n3rd!!
En realidad cambiar el puerto por defecto del ssh es bien al pedo. Paso a explicarte por qué, Cuando el enemigo quiera hacerte un nmap, va a ver el 11111 abierto y el loco se va a conectar usando el telnet o algo así y va a ver algo como esto:
SSH-2.0-OpenSSH_4.6p1 Debian-2
Desde ese momento ya van a saber que tenés un ssh, y vas a estar en la misma que si tuvieras el 22 abierto.
Aparte tener un servicio como el ssh en un puerto no privilegiado es peligroso, porque si se muere tu ssh (o si decidís bajarlo) cualquier usuario no privilegiado podría levantar un algo en ese puerto… y hacerte un man in the middle. Lo único que puede salvarte es que los clientes revisen la fingerprint del servidor (lo que no mucha gente hace)…
Tenes razón, pero como dije antes, podría tener errores.
Lo que pasa que yo lo utilizo con intercambio de llaves públicas/privadas y ahí no me imorta en que puerto este.
La idea de cambiarlo por 11111 (o alguno más extraño) es que no lo detecte el nmap en el ‘primer scaneado’, quiero decir, el nmap sino le decis otra cosa no te escanea *todos* los puertos.
Moraleja: Con esta configuración, dejarlo en el Port 22
Ahora ya se a quién preguntarle cuando tenga dudas de Linux (?!?)
A francisco, obvio!
(recien me doy cuenta…q nombre nerd: franCISCO
)
Te cuento que me parece re interesante el google reader que me mantiene al tanto de cuando a vos te da un ataque nerdistico y decidis escribir algo en tu blog