Tips Seguridad Configuración servicio SSH

El presente instructivo tiene como objetivo presentar unos tips de seguridad para la configuración del servicio SSH.

Requisitos:

  • Tener una instalacion de servicio SSH activa (openssh-server)
  • Se debe contar con suficiente privilegios para la configuración

Plataforma:

  • Equipos de arquitectura 64 bits
  • Sistema operativo ‘GNU/Linux’ Debian versión 7.0

Aplicaciones o configuraciones complementarias:

1. Editar archivo de configuración de SSH:

operador@servidor:/~$ sudo nano /etc/ssh/sshd_config 

2. Efectuar los Siguientes cambios:

# What ports, IPs and protocols we listen for
Port 430  #Cambiar el puerto de conexión

AddressFamily inet #Permitir solo IPV4 (Desactivar IPV6)

# Authentication:
LoginGraceTime 60 #Tiempo en (segundos) que el usuario emplea para la autenticacion
PermitRootLogin no # Restringe acceso de usuario root
StrictModes yes

#AllowUsers usuario1 usuario2 #Puede colocar los usuario que tendrán acceso 
#AllowGroups grupo1 grupo2 #Puede colocar los Grupos "perteneciente a los usuarios" que tendrán acceso

X11Forwarding no #Restringir acceso a conexiones gráficas 
AllowTcpForwarding no #Restringe acceso a tuneles conexion red(route)

MaxAuthTries 3 #Maximos intentos fallidos permitidos para ingresar al sistema
MaxStartups 3 #Cantidad de conexiones simultaneas por direccion IP

## Colocar aviso a usuario de política de seguridad para el uso de SSH
## se debe editar el archivo issue.net o crear uno nuevo (ssh-banner) y colocar la información asociada

#MaxStartups 10:30:60
Banner /etc/issue.net 

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
UseDNS no

3. Incluir la información de política de seguridad en el uso de SSH. Editar /etc/issue.net

operador@servidor:/~$ sudo nano /etc/issue.net 

Incluir lo siguiente:

               _                    _                      _
     /\       | |                  | |                    (_)
    /  \    __| |__   __ ___  _ __ | |_  ___  _ __    ___  _   __ _
   / /\ \  / _` |\ \ / // _ \| '__|| __|/ _ \| '_ \  / __|| | / _` |
  / ____ \| (_| | \ V /|  __/| |   | |_|  __/| | | || (__ | || (_| |
 /_/    \_\\__,_|  \_/  \___||_|    \__|\___||_| |_| \___||_| \__,_|

El acceso a este sistema es exclusivamente para personas autorizadas, 
por lo que las personas que lo utilicen estarán sujetos al monitoreo
de todas sus actividades. Cualquier persona que utilice el presente
sistema permite expresamente tal monitoreo y si es detectada una 
actividad ilicita, será remitido al personal de seguridad, con el
fin de emprender las acciones civiles y/o legales que correspondan.
El uso o el acceso no autorizado será considerado como un acto criminal
y esta sujeto a las sanciones y leyes pertinentes.

4. Reiniciar el servicio ssh:

 operador@servidor:/~$ sudo /etc/init.d/ssh restart 

5. Comprobar el inicio del servicio ssh:

operador@servidor:/# netstat -putan | grep 430
tcp        0      0 0.0.0.0:430              0.0.0.0:*               LISTEN      1135/sshd

6. Verifica inicio de ssh

operador@servidor:/# journalctl -xn

7. Verificar las bitacoras y monitorear las conexión ssh:

operador@servidor:/# tail -f /var/log/auth.log

Desde el Cliente
8. Conexión al servicio:

 operador@cliente:/~$ ssh usuario1@XXX.XXX.XXX.XXX -P430 

Enlaces:

Linux unix bsd openssh-server best practices

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s