Tengo un servidor dedicado con el servicio web (apache). Pero quiero poner el servidor algo más seguro de lo que está, accedo por ssh al servidor para configurarlo. Lo que veo es que cualquiera puede abrir una conexión ssh con el servidor. ¿hay alguna forma de decir al sistema que solo acepte conexiones ssh desde mi IP (tengo una IP fija)? Es que no me aclaro en que fichero es, pues unos me dicen que es fichero hosts y otros en otro fichero.
playa@cuasar.com wrote:
Tengo un servidor dedicado con el servicio web (apache). Pero quiero poner el servidor algo más seguro de lo que está, accedo por ssh al servidor para configurarlo. Lo que veo es que cualquiera puede abrir una conexión ssh con el servidor. ¿hay alguna forma de decir al sistema que solo acepte conexiones ssh desde mi IP (tengo una IP fija)? Es que no me aclaro en que fichero es, pues unos me dicen que es fichero hosts y otros en otro fichero.
Claro que la hay, fijate en /etc/ssh/sshd_config . Para mas ayuda: man sshd_config Ahi podés especificar lo que quieras. Saludos Leo
Una manera simple es con iptables (iptables -t filter -A INPUT -p tcp --dport 22 -s host/ip -j ACCEPT iptables -t filter -p tcp --dport 22 -s 0/0 -j DROP), de esta manera solo permitira conectarte ati y los demas se les denegara ... otra opcion es generar claves RSA/DSA con el ssh-keygen y almacenar en el archivo .ssh/authorized_keys, descomentar la linea en el sshd_config y rular las claves publicas de los clientes y meterlas en dicho archivo El Miércoles 26 Octubre 2005 13:51, Leo escribió:
playa@cuasar.com wrote:
Tengo un servidor dedicado con el servicio web (apache). Pero quiero poner el servidor algo más seguro de lo que está, accedo por ssh al servidor para configurarlo. Lo que veo es que cualquiera puede abrir una conexión ssh con el servidor. ¿hay alguna forma de decir al sistema que solo acepte conexiones ssh desde mi IP (tengo una IP fija)? Es que no me aclaro en que fichero es, pues unos me dicen que es fichero hosts y otros en otro fichero.
Claro que la hay, fijate en /etc/ssh/sshd_config . Para mas ayuda: man sshd_config Ahi podés especificar lo que quieras. Saludos Leo
El 26/10/05, chakal^-^<luisitoo@ya.com> escribió:
Una manera simple es con iptables (iptables -t filter -A INPUT -p tcp --dport 22 -s host/ip -j ACCEPT iptables -t filter -p tcp --dport 22 -s 0/0 -j DROP), de esta manera solo permitira conectarte ati y los demas se les denegara ...
la segunda linea es inecesaria... se supone q las politica por defecto de los cortafuegos decentes son "DROP".. o sea, bastaria con la primera linea. bye -- -- Victor Hugo dos Santos Linux Counter #224399
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-10-26 a las 12:16 +0200, playa@cuasar.com escribió:
Tengo un servidor dedicado con el servicio web (apache). Pero quiero poner el servidor algo más seguro de lo que está, accedo por ssh al servidor para configurarlo. Lo que veo es que cualquiera puede abrir una conexión ssh con el servidor. ¿hay alguna forma de decir al sistema que solo acepte conexiones ssh desde mi IP (tengo una IP fija)? Es que no me aclaro en que fichero es, pues unos me dicen que es fichero hosts y otros en otro fichero.
Básicamente, es en /etc/ssh/sshd_config. Pero lo de la IP me parece que se hace mejor en el cortafuegos. En el sshd_config, podría ser por user@host: DenyUsers This keyword can be followed by a list of user name patterns, separated by spaces. Login is disallowed for user names that match one of the patterns. * and ? can be used as wildcards in the patterns. Only user names are valid; a numerical user ID is not recognized. By default, login is allowed for all users. If the pattern takes the form USER@HOST then USER and HOST are separately checked, restricting logins to particular users from particular hosts. AllowUsers This keyword can be followed by a list of user name patterns, separated by spaces. If specified, login is allowed only for user names that match one of the patterns. `*' and `?' can be used as wildcards in the patterns. Only user names are valid; a numerical user ID is not recognized. By default, login is allowed for all users. If the pattern takes the form USER@HOST then USER and HOST are separately checked, restricting logins to particular users from particu- lar hosts. UseDNS Specifies whether sshd should lookup the remote host name and check that the resolved host name for the remote IP address maps back to the very same IP address. The default is ``yes''. Pero lo que tienes que hacer sobre todo es desautorizar el login/passwd simple, teniendo que hacerlo por par de ficheros llave y frase. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDX88LtTMYHG2NR9URAu3xAJ9/5UMF3nt/NlHlF/Keql/s9NuNmwCfTuba wyX6CLCoOiIsG5VglXRA4SM= =ajhW -----END PGP SIGNATURE-----
El 26/10/05, playa@cuasar.com<playa@cuasar.com> escribió:
Tengo un servidor dedicado con el servicio web (apache).
ok
Pero quiero poner el servidor algo más seguro de lo que está, accedo por ssh al servidor para configurarlo.
ssh, es super seguro, no deberias de preocuparte tanto por esto... lo q si, dedicarte en mantener el sistema al dia, verificar los permisons de los archivos binarios y de configuracion del sistema, revisar los logs, entre otras.
Lo que veo es que cualquiera puede abrir una conexión ssh con el servidor.
se tiene un shell valido, si !!! revisa cuales son los usuarios q necesitan conectar al sistema y a los q NO necesitan, cambiar su shell por "/bin/false" o "/bin/nologin" (o era /sbin/nologin ?? no me acuerdo ahora) en el archivo /etc/passwd... por cierto, revisar el archivo adduser.conf (no tengo la ruta completa ahora, pero deberia de estar dentro de /etc :-) ) o el propio yast, para modificar los valores por defecto de los usuarios nuevos.
¿hay alguna forma de decir al sistema que solo acepte conexiones ssh desde mi IP (tengo una IP fija)? Es que no me aclaro en que fichero es, pues unos me dicen que es fichero hosts y otros en otro fichero.
mmm.. varias. en orden de facilidad y recomendacion: man sshd_config man hosts.deny man hosts.allow man iptables salu2. -- -- Victor Hugo dos Santos Linux Counter #224399
Tengo un servidor dedicado con el servicio web (apache).
Pero quiero poner el servidor algo más seguro de lo que está, accedo por ssh al servidor para configurarlo.
Lo que veo es que cualquiera puede abrir una conexión ssh con el servidor.
¿hay alguna forma de decir al sistema que solo acepte conexiones ssh desde mi IP (tengo una IP fija)? Es que no me aclaro en que fichero es, pues unos me dicen que es fichero hosts y otros en otro fichero.
Tienes varias variables en sshd_config que te permiten hacerlo: AllowHosts AllowSHosts AllowUsers La posibilidades son varias. Échale una mirada atenta a las man, que te vas a cansar de las posibilidades que hay. ;) -- ¡Share your knowledge! Linux user id 332494 # http://counter.li.org/ PGP id 0xC5ABA76A # http://pgp.mit.edu/
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-10-27 a las 08:53 +0200, Aquiles escribió:
Tienes varias variables en sshd_config que te permiten hacerlo:
AllowHosts
No viene en el manual (SSHD_CONFIG(5)).
AllowSHosts
Tampoco viene.
AllowUsers
Esa si. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDYL/4tTMYHG2NR9URAm9sAJ0ZpBd9sA7JF80D8px4/aBHZK0U/gCeJ9z2 Jdq0SQvASr2Rk1jInEjOmDc= =Df8o -----END PGP SIGNATURE-----
AllowHosts
No viene en el manual (SSHD_CONFIG(5)).
AllowSHosts
Tampoco viene.
AllowUsers
Esa si.
Pues mira, tienes toda la razón. He estado mirando y lo he puesto, efectivamente mal. Y la verdad es que me ha costado saberlo,pero ya sé porqué: lo miré en la web en lugar de las man en local. Y con tan mala suerte que pille (o no me fijé vaya) en un ssh propietario y no en OpenSSH. Mea culpa. -- ¡Share your knowledge! Linux user id 332494 # http://counter.li.org/ PGP id 0xC5ABA76A # http://pgp.mit.edu/
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-10-27 a las 16:33 +0200, Aquiles escribió:
Pues mira, tienes toda la razón. He estado mirando y lo he puesto, efectivamente mal. Y la verdad es que me ha costado saberlo,pero ya sé porqué: lo miré en la web en lugar de las man en local. Y con tan mala suerte que pille (o no me fijé vaya) en un ssh propietario y no en OpenSSH.
¡Pues que pena! Me hiciste pensar que era una versión nueva y me estaba afilando los dientes ;-p - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDYUd2tTMYHG2NR9URAkzDAKCOPqjZXGSABeoDBGW4CRgBHorKNwCfVsOF qzJuOqKpTFU33c5DUFd8rDY= =5I9I -----END PGP SIGNATURE-----
participants (6)
-
Aquiles -
Carlos E. R. -
chakal^-^ -
Leo -
playa@cuasar.com -
Victor Hugo dos Santos