Si tenemos configurado el acceso SSH en el NSLU, es conveniente hacer una serie de cambios en la configuración para hacerlo un poco mas seguro.
Lo primero es saber donde esta el fichero de configuración del demonio SSH, en nuestro caso esta en /etc/ssh/sshd_config. Lo primero que debemos hacer es acceder al nslu, y cambiar a root (en caso de que no lo seamos, con “su root” lo hacemos). Una vez que seamos root, podemos editar el sshd_config (”nano /etc/ssh/sshd_config“). Ahora vamos a ver los parámetros que debemos modificar:
- Port:indica el puerto por el que acceder al ssh. Por defecto es el 22, pero podemos cambiarlo a otro para mayor seguridad.
- ListenAddress: indica la ip de la interfaz de red en la que se escucharan las peticiones. Por defecto 0.0.0.0, que escucha de todas.
- LoginGraceTime: tiempo en segundos disponibles para hacer login. Con 60 segundos es mas que suficiente para teclear el nombre de usuario y la contraseña.
- AllowUsers: nos permite indicar que usuarios pueden acceder mediante ssh y desde que rangos de ip.
Sobretodo el parametro AllowUsers es muy importante, ya que nos permite hacer cosas como
[code]AllowUsers miusuario@* root@192.168.1.*[/code]
¿Y todo esto para qué?
Con esta simple linea, conseguimos dos cosas, primero con miusuario@ indicamos que el usuario “miusuario” puede acceder desde cualquier ip al ssh. Y lo mas importante, con root@192.168.1.* limitamos que el usuario root solo pueda acceder desde nuestra red local. La explicación es sencilla, teniendo en cuenta que para acceder se nos pide un usuario/contraseña, si permitimos acceder desde cualquier ip al root, entonces un posible atacante solo tendrá que investigar la clave para tener un acceso al sistema, teniendo el 50% del trabajo ya hecho. Si limitamos el rango de ips donde puede acceder el root, un atacante externo tendra que averiguar el nombre de usuario y la clave.
Podemos revisar nuestro fichero /var/log/auth.log y ver si hay cosas como esta:
[code]
Aug 14 18:09:49 LKG351F5D sshd[1315]: (pam_unix) check pass; user unknown
Aug 14 18:09:49 LKG351F5D sshd[1315]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=80.201.2$
Aug 14 18:09:51 LKG351F5D sshd[1315]: Failed password for invalid user linux from 80.201.240.41 port 45579 ssh2
Aug 14 18:09:56 LKG351F5D sshd[1317]: User root from 80.201.240.41 not allowed because not listed in AllowUsers
Aug 14 18:09:56 LKG351F5D sshd[1317]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=80.201.2$
Aug 14 18:09:58 LKG351F5D sshd[1317]: Failed password for invalid user root from 80.201.240.41 port 46188 ssh2
Aug 14 18:10:00 LKG351F5D sshd[1319]: Invalid user service from 80.201.240.41
[/code]
Sinceramente, creo que es conveniente realizar algunos cambios, sobretodo limitar los usuarios que se pueden conectar con “AllowUsers“, ya que el NSLU normalmente esta 24h conectado.
Comentarios:0
Trackback + Pingback: 1
- TrackBack para este mensaje
- http://www.issux.com/2007/08/23/configurar-ssh/trackback/
- Enlaces a blogs que referencian:
- Configurar SSH from ISSUX.com
- Pingback por NSLU: SSH Host key blacklisted :: ISSUX.com Lun., 11-08-08 18:59
-
[...] Hoy, después de reinstalar la Debian r03 en el nslu (estoy preparando otro articulo para explicar el proceso), modifique la configuración del ssh para restringir el acceso como root. [...]